[ editar artigo]

TIC TAC: Seis meses para a entrada em vigor da LGPD

TIC TAC: Seis meses para a entrada em vigor da LGPD

 

Estamos a seis meses para a entrada em vigor da Lei de Proteção de Dados Pessoais. Em meio a debates políticos, jurídicos e acadêmicos, a legislação começa a ficar mais conhecida, mas ainda não está sendo levada tão a sério.

A lei pegar? Vai prorrogar? Já prorrogou, não foi? Mas e as microempresas e empresas de pequeno porte vão ter que cumprir também? Mas afinal, o que precisa ser feito? Estes questionamentos e outros no mesmo sentido são comuns para quem está atuando em projetos de conformidade.

Vejamos.

A lei vai pegar? Não! A lei não pega nada nem ninguém. Lei é feita para ser cumprida e de acordo com Lei de Introdução das Normas do Direito Brasileiro em seu art. 3º, “Ninguém se escusa de cumprir a lei, alegando que não a conhece[1]”.  

Mas e as microempresas e empresas de pequeno porte? Muito embora ninguém esteja obrigado a nada (a máxima é verdadeira!) O art. 5.º, II da Constituição Federal acrescenta: senão em virtude de lei[2]. Ao que consta até o momento, as microempresas e empresas de pequeno porte não foram abarcadas por nenhum tipo de exceção. É fato que o inciso XVIII do art 55J define como competência da Autoridade Nacional de Proteção de Dados editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para as microempresas e empresas de pequeno porte. Entendo que não há uma exceção criada aqui. Portanto o cumprimento dos termos da lei é obrigatório para elas também.

Vai prorrogar? Já prorrogou? Bem, aqui entramos num tópico complicado pois temos a análise política e jurídica. No aspecto jurídico, algumas pessoas compreendem que a Lei 13.853, de 8 de julho de 2019 alterou substancialmente a Lei nº 13.709, de 14 de agosto de 2018, e, portanto, deveria ser aplicado o §3.º do art. 1.º da Lei de Introdução das Normas do Direito Brasileiro que diz que “Se, antes de entrar a lei em vigor, ocorrer nova publicação de seu texto, destinada a correção, o prazo deste artigo e dos parágrafos anteriores começará a correr da nova publicação.”  

Exceto esta justificativa, que entendo pode fomentar discussão jurídica, qualquer outra está fora de contexto.

Aqui entra a análise política: O Brasil está atrasado em relação aos demais países no seu processo de adequação às normas internacionais de proteção de dados e privacidade. Só para constar, na América Latina, Argentina possui leis de proteção de Dados desde 1994, Chile desde 1999 e Panamá tem lei em vigor desde 2016. Portanto, não se trata simplesmente de conceder maior prazo para adequação das empresas. Trata-se de adquirir respeito de outros Estados para nosso envolvimento e maturidade com o tema que reflete de maneira direta no fator econômico, tanto que as discussões em torno da temática estão sob competência do Ministério da Economia.

Outro fator importante que merece ser mencionado é o Projeto Emenda Constitucional PEC 17/19, que assegura o direito à proteção de dados pessoais, inclusive nos meios digitais e inclui entre as competências da União legislar sobre proteção e tratamento de dados pessoais, já aprovado no Plenário do Senado e encaminhado à Câmara dos Deputados.[3]

Desta forma, dificilmente vejo qualquer proposta de prorrogação sendo aprovada.

Então, finalmente, o que precisa ser feito?

Claro que temos frameworks diferenciados, principalmente quando envolve a segurança da informação, tecnologia da informação, governança corporativa e TI, sem falar na gestão de processos e projetos. Alguns exemplos como ITIL[4], COBIT[5], ISO/IEC 27000[6], PMBOK[7] são uteis para definição do que melhor se adapta à empresa e seus core business.

Em todo os casos, CONSCIENTIZAÇÃO dos agentes e seus colaboradores, ENVOLVIMENTO da alta direção, CONFIDENCIALIDADE de documentos, frameworks e procedimentos e CAPACITAÇÃO contínua para garantir a mudança de CULTURA em relação à proteção dos dados pessoais.

A cada mês a coluna versará sobre um dos tópicos necessários para a implementação de um Sistema de Gestão de Privacidade e Proteção de Dados. Como citamos antes, existem várias formas de conduzir o processo, mas temos procedimentos que se sobrepõe.

Em linhas gerais, é preciso

  • Criar um sistema de registo de dados – conhecer os seus processos, para além das normas. Como seus colaboradores tem feito esse fluxo de fato acontecer identificando assim os GAPs;
  • Rever a política de privacidade, procedimentos, documentação e contratos é fundamental;
  • Ter em conta os novos direitos dos titulares dos dados é fator determinante principalmente para controladores de dados pessoais que trabalham B2C;
  • Assegurar que os colaboradores estão conscientes da legislação e foram capacitados para entender a importância do processo de conformidade;
  • Adotar medidas e políticas internas que cumpram os requisitos de proteção “by design” e proteção “by default”;
  • Rever e atualizar as medidas de segurança do tratamento, exigindo de seus fornecedores e parceiros os mesmos níveis;
  • Identificar se a empresa faz transferência internacional de dados ou não.

 

Como já dito o processo é metódico. Seis meses já não é um prazo confortável para adequação plena. Como o tempo é relativo, não se deixe abater. Defina a melhor estratégia e mãos à obra. Como já dizia o poeta, a direção é mais importante que a velocidade. Movimento, dinamismo, energia e ousadia, são meus votos para os próximos seis meses...

 


[1] LINDB, art. 3.º

[2] Art. 5.º II, CRFB/88

[3] https://www25.senado.leg.br/web/atividade/materias/-/materia/135594

[4] ITIL é a sigla para Information Technology Infrasructure Library. ITIL é o padrão de boas práticas para gerenciamento de serviços de tecnologia da Informação mais amplamente empregado no mundo

[5] COBIT é a sigla para “Control Objectives for Information and related Technology” e que, na prática, significa uma estrutura capaz de fornecer governança de TI. Essa estrutura foi criada pela ISACA (Information Systems Audit and Control Association) e tem como principal objetivo gerar valor para a empresa e para os seus processos.

[6] A ISO / IEC 27000 faz parte de uma família crescente de padrões dos Sistemas de Gerenciamento de Segurança da Informação ISO / IEC (ISMS)

[7] Project Management Body of Knowledge: é um conjunto de terminologia e diretrizes padrão para o gerenciamento de projetos.

Comunidade Legal Hub
Laura Carvalhal
Laura Carvalhal Seguir

Mestre em Direito pela UFSC. Esp. em Direito Digital e Compliance. Advogada nas áreas cível e empresarial, preventivo e contencioso, desde 2007. Professora universitária desde 2009. Associada IAPP e Certificada EXIN PD&P e ISO27001.

Ler conteúdo completo
Indicados para você