O Presidente Jair Bolsonaro sancionou ontem o Projeto de Lei de Conversão nº 34/2020, resultado da MP nº 959/2020 e convertido na Lei nº 14.058, em 17 de setembro de 2020.
Embora a nova Lei não mencione diretamente nada sobre a Lei Geral de Proteção de Dados (LGPD) passa a valer a partir de hoje, 18/09/2020, data de publicação oficial.
A explicação técnica sobre a vigência:
A MP nº 959/20, agora convertida em lei, propunha o adiamento da vigência da LGPD de 16 de agosto passado, para 3 de maio de 2021.
Em votação no Congresso, a prorrogação não foi aceita no Senado e o artigo que tratava sobre o tema foi vetado do PLC sancionado ontem pelo Presidente. Por isso, quem procurar sobre a vigência não irá encontrar nada objetivo nas leis.
Com isso a vigência da LGPD esteve “suspensa” e torna-se imediata, a partir da sanção deste Projeto de Conversão que ocorreu com a publicação da lei de 17 de setembro.
A Autoridade Nacional de Proteção de Dados (ANPD) ainda não está operacional:
No dia 26 de agosto, foi publicado o Decreto nº 10.474/2020, que estruturou a ANPD.
Contudo, embora tenhamos uma lei vigente cuja aplicação depende da Autoridade Nacional, a ANPD ainda não está em funcionamento, prejudicando a regulamentação de diversos pontos da LGPD. Desde 9 de julho de 2019, esperamos a nomeação dos 5 diretores da ANPD pelo Presidente Jair Bolsonaro. Depois de nomeados, os diretores deverão ser sabatinados no Senado para só então serem empossados, processo que pode demorar mais alguns meses.
Por outro lado, através de movimento parlamentar anterior, as sanções e possibilidade de multa de até R$ 50 milhões que a ANPD poderá aplicar já haviam sido prorrogadas para 1º de agosto de 2021.
Infelizmente – sem a ANPD constituída e funcional antes da LGPD entrar em vigor – colocamos a carroça na frente dos bois e corremos o risco de uma judicialização desnecessária de assuntos ligados à Proteção de Dados.
O que acontece agora?
A LGPD é uma certeza desde 2018 e esperada com grande expectativa desde então.
A derrota presidencial no Congresso, em não conseguir prorrogar a entrada em vigor para 2021, e sua indecisão sobre a constituição da ANPD, fez com que esse filho nascesse prematuro.
Para empresas de todos os portes, já se percebe um aumento significativo de questionamentos, pedidos de aditivos contratuais para formalizar responsabilidades, incertezas sobre como os dados compartilhados deverão ser tratados entre controladores e operadores, e muitas outras dúvidas.
Na prática os grandes clientes começaram a enviar aditivos aos contratos pedindo que as empresas confirmem que já cumprem a LGPD e que serão responsáveis pelas multas e prejuízos na hipóteses de vazamento de informações ou multas e problemas judiciais decorrentes das relações jurídicas.
Além disso, com a entrada em vigor da LGPD, já começaram os pedidos de informações das pessoas físicas sobre dados armazenados, finalidades do tratamento e outras disposições da lei. Os direitos dos titulares passam a valer e deverão ser respondidos de imediato, ou no prazo máximo de 15 dias corridos.
Vale lembrar que passam a valer e deverão ser aplicados todos os princípios e fundamentos da LGPD, dentre os quais o security and privacy by design and default, coleta do mínimo necessário, da transparência na utilização dos dados e responsabilização/regras de governança.
Na prática, por onde começar?
Desde a promulgação da LGPD sempre recomendamos que as empresas procurassem fazer o mapeamento dos dados seguido por uma análise apurada de sua maturidade. Isto seria como a fundação do prédio. Entendendo quais dados a empresa coleta, quais dados deveriam coletar e para qual finalidade, bem como com quem esses dados são compartilhados e por quanto tempo serão guardados, é possível compreender como protegê-los e quais são as implicações jurídicas e técnicas necessárias.
Agora, ao invés de pensar num prédio, a melhor analogia passa a ser a de construir um túnel que ligará as obrigações da empresa aos direitos dos titulares. Este é o caminho a ser traçado.
Ou seja, em paralelo ao mapeamento de dados, será necessário começar pela garantia do atendimento e direitos dos titulares, revisão de contratos / termos de uso e política de privacidade, negociação de contratos e condições com clientes e fornecedores estratégicos, capacitação e nomeação do DPO.
Em algum ponto desta escavação e nova obra, os trabalhos jurídicos deverão encontrar os resultados do mapeamento feito para então podermos revisar as bases legais de cada tratamento e como a empresa irá implementar as medidas de governança para cumprir todos os princípios e fundamentos da Lei.
Embora não exista adequação imediata, este assunto passou a ser prioritário. Mesmo que ainda não haja a possibilidade de aplicação das multas diretamente pela ANPD, o risco das empresas perderem valor ou negócios por não conseguirem comprovar a conformidade, bem como de serem punidas com base em outros caminhos processuais, é brutal.
Conteúdo compartilhado do Assis e Mendes Advogados
Temos uma série de artigos e textos publicados no site do Assis e Mendes. https://assisemendes.com.br/categoria/lgpd/
Para quem quiser por onde começar, além da nossa consultoria, temos um pequeno check-list sobre LGPD e GDPR:
Checklist LGPD: https://assisemendes.com.br/lgpd/
Checklist GDPR: https://assisemendes.com.br/download-e-book-gdpr/
Fizemos um Dicionário com os termos da LGPD e Proteção de Dados que pode ser baixado em https://materiais.assisemendes.com.br/dicionario-lgpd
Mantemos uma versão atualizada do texto da LGPD no nosso site: https://assisemendes.com.br/blog/lgpdatualizada/
Existe um infográfico com o resumo da Lei e seu atual estágio aqui.
E, para entrar em contato, estamos disponíveis através do nosso site https://assisemendes.com.br/contato/
Sobre mim e como o Assis e Mendes apoia empresas no processo de adequação:
Sou o Adriano Mendes sócio do escritório Assis e Mendes Advogados e especialista em Direito Digital e Empresarial, com mais de 15 anos de experiência na área de corporativa de empresas de tecnologia da informação nacionais e estrangeiras. Presto consultoria jurídica voltada para negócios e empresas de tecnologia. Autor de livros e pareceres, possuo LL.M. em Direito e Economia Europeia pelo Insper – Instituto de Ensino e Pesquisa, MBA em Fusões e Aquisições pelo IICS e pós-graduação em Contratos pela PUC/SP. Fui professor de Ética, Direito e Legislação no SENAC. Sou Membro Efetivo da Comissão de Ciência e Tecnologia da OAB/SP, do Conselho de Inteligência Jurídica da Assespro Nacional, Secretário Geral da Câmara de Mediação e Arbitragem da Assespro São Paulo e responsável jurídico da ABRAHOSTING – Associação Brasileira de Provedores de Hospedagem e da ASSESPRO-SP.
Especificamente no âmbito da Proteção de Dados Pessoais, ministro aulas em diversos cursos e instituições, realizando palestras em nível nacional e internacional para associações e empresas públicas e privadas. Além de ter sido reconhecido em 2018 pelas Revista VOCÊ S/A e pela Exame como um dos primeiros DPO’s do Brasil – antes mesmo da promulgação da LGPD -, obtive em 2020 o título de Data Protection Officer pela Universidade de Maastricht, o que me permite atuar no mercado europeu no âmbito do General Data Protection Regulation (GDPR).
Tive a chance de acompanhar a implementação do GDPR na europa e desde 2017 me especializar cada vez nos assuntos sobre Proteção de Dados, Tecnologia e Privacidade e sua aplicação também no Brasil.
Contando com uma equipe de especialistas altamente qualificados, apoiamos empresas do mercado financeiro, varejo, indústria, serviços com grande volume de dados, internet e tecnologia em processos de adequação de diferentes formas.
Vamos conversar? Para mais orientações, entre em contato pelo email LGPD2020@assisemendes.com.br ou pelo site https://assisemendes.com.br/contato/