GOVERNO FEDERAL ADIA INÍCIO DA VIGÊNCIA DA LEI GERAL DE PROTEÇÃO DE DADOS

30/04/2020

Foi publicada no Diário Oficial da União do dia 30 de abril a MP 959/20, que, dentre outras medidas, prorroga o prazo de vacacio legis da Lei Geral de Proteção de Dados para o dia 03 de maio de 2021. A Lei, que originalmente vigeria a partir do início de 2020, já tinha tido sua vigência prorrogada para agosto de 2020 e agora tem esse prazo novamente estendido para 2021.

Como já amplamente divulgado, a LGPD traz um rigoroso regulamento quanto tratamento de informações pessoais, bem como estabelece os padrões gerais de segurança que deverão ser observados na proteção dessas informações. A Lei define como dados pessoais qualquer informação relacionada a pessoa natural identificada ou identificável e identifica como tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Pela amplitude dos conceitos de dado pessoal e de tratamento trazidos pela Lei, o regulamento acaba abrangendo a atividade das empresas de quase todos os ramos do mercado. Afinal, a rigor, qualquer pessoa/empresa que receba informações básicas como RG, CPF, estado civil, endereço, profissão ou local de trabalho já está obrigada a atender os parâmetros estabelecidos pela LGPD na proteção destes dados. Nesse sentido, é necessário, desde logo, que se dê início ao processo de adaptação das empresas às exigências estabelecidas na Lei, sob pena de incidência das penalidades legais quando da entrada em vigor da Lei.

Entretanto, para além da excepcional situação ocasionada pela pandemia do COVID-19, há um outro motivo para a prorrogação do início da vigência da LGPD. A Lei, tal como desenhada, não expressa quais os parâmetros técnicos específicos que devem ser observados no tratamento de dados, tampouco especifica qual agente governamental será responsável pela fiscalização destas atividades. Todos estes fatores são relegados a regulamentação posterior, a qual, até o presente momento, não foi publicada.

Mesmo assim, já é possível identificar alguns pontos que merecem especial atenção na Lei, que deverão ser observados independentemente da regulamentação posterior:

– Consentimento: salvo exceções previstas em lei, os dados pessoais devem ser obtidos mediante expresso consentimento do titular, constando ainda a finalidade específica para qual eles serão utilizados;

– Direitos do titular: o titular tem direito de requisitar o acesso, a alteração, a exclusão e a portabilidade de seus dados;

– Encarregado pela Proteção de Dados: a empresa deverá indicar uma pessoa para viabilizar a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional;

– Relatório de Impacto à Proteção de Dados Pessoais (RIPDP): o controlador deverá produzir documento que  descreva por completo os processos de tratamento de dados pessoais que podem gerar riscos aos direitos do titular, bem como as práticas adotadas para mitigação de risco;

– Transferências internacionais de dados: a transferência de dados pessoais para o estrageiro, reservadas outras hipóteses previstas na lei, só será permitida se garantida a mesma proteção conferida pela LGPD (seja pela legislação do país de destino, seja por previsão contratual) ou se houver expresso consentimento do titular nesse sentido;

– Registro de operações de tratamento: controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem (incluindo-se, aqui, todas as operações descritas na definição da lei);

– Requisitos de segurança: desde a concepção até a execução dos serviços ou produtos, devem ser adotadas (e devidamente registradas) todas as medidas de segurança, técnicas e administrativas necessárias à proteção dos dados pessoais de vazamentos acidentais ou ilícitos;

– Boas práticas: controlador e operador devem formular e atualizar as regras de governança interna que garantam o comprometimento da companhia com a proteção dos dados pessoais;

– Comunicação obrigatória: qualquer incidente de segurança deve ser comunicado ao titular e à autoridade nacional.

Também se chama a atenção às consequências previstas na Lei em caso de descumprimento dos parâmetros nela estabelecidos:

– Advertência;

– Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração;

– Multa diária, também limitada ao valor de limitada R$ 50.000.000,00 por infração;

– Publicização da infração;

– Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

– Eliminação dos dados pessoais a que se refere a infração;

– Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

– Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

– Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados; e

– Responsabilização pessoal dos agentes de tratamento.

Neste contexto, a prorrogação do início da vigência da LGPD não só concede um prazo maior aos particulares para que sejam adotadas as medidas necessárias a sua adequação às exigências legais, mas também amplia o prazo do próprio Governo Federal para elaborar e publicar a regulamentação da Lei. De todo o modo, dados os parâmetros já postos na Lei, é preciso que, desde logo, as empresas iniciem seu processo de adequação.

 

O LVM ADVOGADOS fica à disposição para qualquer eventual dúvida decorrente do presente Informativo.

Voltar