Os primeiros impactos da LGPD
Nos últimos meses muito se falou sobre a vigência da tão esperada Lei Geral de Proteção de Dados. Importante ponderar que os artigos 55-A a 55-L, 58-A e 58-B, que regulamentam a estrutura da ANPD e sua criação, estão valendo desde dezembro de 2018, sendo estabelecido que os demais artigos seriam aplicados apenas em agosto de 2020.
Entretanto, considerando as dificuldades econômicas e de adaptação somados à crise sanitária do novo Coronavírus, deliberou-se sobre a possibilidade de adiar a vigência da lei, em um primeiro momento, para o próximo ano.
Diante deste cenário foi editada a MP 959/2020 determinando que a lei entraria em vigor em maio de 2021. Contudo, o prazo nunca era definido, mas restava evidente as dificuldades de adaptação para pequenas e médias empresas.
E num atropelo desmedido, o Senado Federal derrubou o adiamento da LGPD previsto para Maio/2021 (MP 959/2020), permitindo, portanto, sua vigência a partir de Agosto/2020 e revertendo a decisão tomada pela Câmara dos Deputados, ao argumento de que o Congresso Nacional já havia deliberado sobre este assunto em outra matéria, aprovada há alguns meses (MP Nº 869/2018, convertida na Lei nº 13.853, de 2019).
Em seguida, tamanha confusão que o site do Senado Federal lançou nota de esclarecimento com o entendimento de que a legislação só entrará em vigor após sanção presidencial da MP em questão, o que ocorreu na última sexta-feira, 18/09 (Lei Ordinária nº 14.058/2020)
Por outro lado, é certo que a vigência das sanções administrativas foi adiada para 1º de agosto de 2021, conforme estabelecido pela Lei 14.010/2020, editada em junho/2020.
Neste sentido, mesmo considerando que as sanções somente poderão ser aplicadas apenas a partir de Agosto/2021, a adequação à legislação é necessária, considerando o simples fato de que sua entrada em vigor traz a oportunidade de ajuizamento de ações e investigações, tanto por parte de titulares de dados pessoais como dos órgãos de defesa do consumidor e, nesse sentido, suscitamos um ponto importante, pois se de um lado, num primeiro momento não teremos a aplicação das sanções previstas na LGPD pela ANPD - Autoridade Nacional de Proteção de Dados Pessoais, podemos então ter a aplicação de penalidades previstas em outros dispositivos legais, como no Código de Defesa do Consumidor e principalmente pelos órgãos de proteção, tal como o PROCON e o Ministério Público.
Em outras palavras, o fato de as sanções previstas na LGPD terem a vigência adiada para 2021 não inibirá a aplicação de sanções administrativas por órgãos de proteção ao consumidor, bem como penalidades civis ou no âmbito penal delimitadas na Lei nº 8.078 de 1990 e em legislações específicas.
Assim, tem-se que a LGPD não dirimiu um evidente conflito de atribuições que certamente surgirá. Note, por exemplo, que no setor de telecom, estabeleceu-se em lei que havendo conflitos de atribuições, deverá prevalecer a competência da ANATEL. Contudo, na LGPD não há esta previsão, o que causará insegurança jurídica.
A ANPD, por sua vez, vinculada diretamente à Presidência da República, contraria os princípios que levaram à criação das agências reguladoras em vários setores, porque agências reguladoras são entes autônomos, com independência financeira, são órgãos de estado e não de governo, a vinculação da ANPD à casa civil, retira sua autonomia e consequentemente retira boa parte da intenção da própria lei, que é a de ter uma autarquia com auto regulação e independência para fiscalizar.
Temos observado que no tocante à adaptação aos novos padrões da LGPD, grande parte dos recursos e investimentos direcionados até o momento estão relacionados a soluções de descoberta, classificação e monitoramento dos dados, sejam estruturados (banco de dados) ou não estruturados (dispersos no interior de arquivos). Mas existem outras necessidades e distintos trabalhos que devem ser realizados para garantir que a empresa tenha controles efetivos, para que seja viável e que o risco seja reduzido no trabalho de big datas ou de data lakes (uso compartilhado e corporativo).
A respeito deste ponto, de se mencionar que a antecipação da vigência prejudicou o planejamento orçamentário das empresas, somado ao contexto de crise sanitária com sensível abalo na economia mundial, questiona-se em qual espaço do planejamento feito pelas organizações para o ano de 2020 foi reservado recursos para implementação de um projeto desta magnitude? Ora, diante da perspectiva de vigência para o ano de 2021 e diante do cenário de crise, em que as empresas lutam para manter os empregos diretos e indiretos que geram e lutam pela própria sobrevivência, muito provavelmente os recursos foram remanejados para manter a saúde financeira da corporação. Segundo dados do ICTS, mais da metade das pequenas empresas (58%) ainda não se adaptaram à lei.
Isto posto, a adequação é primordial e no due diligence é essencial que o processo de coleta de dados e todas as informações sejam passadas de forma clara e objetiva, a fim de embasar a implementação correta da LGPD. Após um mapeamento completo, passa-se para a fase de implementação, quando são tratados de elaboração de documentos, boas práticas e governança, bem como mitigação de riscos, a fim de cumprir o que dispõe a LGPD. Ainda, posteriormente à implementação é importante lembrar que a gestão de proteção de dados pessoais é cíclica, devendo ocorrer avaliações e melhoria contínua dos processos.