Facebook
Google
Twitter
O Senado rejeitou, na quarta-feira passada (26), ampliar o prazo da Lei Geral de Proteção de Dados Pessoais (LGPD) para 31 de dezembro de 2020 ao retirar o artigo 4º da Medida Provisória (MP) 959/2020. Em um primeiro entendimento, a informação era de que a norma passaria a vigorar já a partir de 27 de agosto com ou sem a sanção presidencial.
Porém, o Senado divulgou nota de esclarecimento logo depois explicando que a LGPD não entra em vigor imediatamente, mas somente após sanção ou veto dos demais dispositivos da MP.
A vigência da legislação precisa ser sancionada pelo presidente Jair Bolsonaro nas próximas três semanas. Não havendo manifestação da União nesse período, o projeto de lei é considerado sancionado tacitamente.
Prevista para entrar em vigor em agosto de 2020 e adiada para maio de 2021, a LGPD exige uma grande mudança de comportamento nas empresas. Em abril, ainda no início da pandemia do novo coronavírus no Brasil, o governo federal editou a MP 959 a fim de adiar o início das regras de proteção de dados para maio de 2021.
Perto de a medida vencer, no dia 25 a Câmara aprovou o texto estabelecendo um prazo um pouco menor. A ideia dos deputados era que, em 1º de janeiro de 2021, a LGPD começasse a vigorar - dando mais quatro meses para o ambiente corporativo brasileiro se adaptar. Contudo, o Senado negou o trecho por completo.
A tentativa de adiamento era um alento para as empresas durante a Covid-19. Mesmo cientes de que a LGPD estava prestes a começar a valer no País, os desafios trazidos pela crise sanitária obrigaram a tirar o assunto da lista de prioridades.
Por isso mesmo, segundo o presidente do Senado, Davi Alcolumbre, pelo menos até agosto de 2021 as sanções administrativas que estavam previstas na lei não serão aplicadas, "permitindo que as empresas, entidades e órgãos públicos mantenham seus projetos para adequação, garantindo a transparência e a clareza na manipulação de dados das pessoas físicas em quaisquer meios".
Todas as empresas devem ser impactadas, já que, segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada uma categoria chamada de "dado sensível", informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual.
Registros como esses passam a ter nível maior de proteção para evitar formas de discriminação. Todo contador processa dados com alguma dessas características diariamente e, portanto, também deve cumprir a LGPD.
Ao coletar um dado, as empresas deverão informar a finalidade. Se o usuário aceitar repassar suas informações, como ao concordar com termos e condições de um aplicativo, por exemplo, as companhias passam a ter o direito de tratar os dados (respeitada a finalidade específica) desde que em conformidade com a lei.
A lei prevê uma série de obrigações, como a garantia da segurança dessas informações e a notificação do titular em caso de um incidente de segurança. A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de "legítimo interesse" desses, embora essa hipótese não tenha sido detalhada, um dos pontos em aberto da norma.
De outro lado, o titular ganha uma série de direitos. Poderá solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por "legítimo interesse") e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção.
Organizações brasileiras de todos os setores estão englobadas pela LGPD
Profissionais contábeis também são impactados, já que armazenam e tratam de dados dos clientes
Gerd Altmann/Pixabay/divulgação/jc
A Lei Geral de Proteção de Dados (LGPD) exige uma grande mudança de comportamento nas empresas. A norma permite que o cidadão exija proteção e privacidade de seus dados. Com isso, todos devem se preparar para um novo patamar de relacionamento com clientes ou usuários. A norma abrange qualquer setor e porte de empresas, Organizações não Governamentais (ONGs), consultórios médicos e escolas particulares. Os escritórios de contabilidade também são impactados, já que o contador é responsável por armazenar e tratar um verdadeiro tesouro dos seus clientes em tempos em que a informação vale ouro.
Mesmo com a dúvida sobre outra possível prorrogação do início da implementação da LGPD, especialistas alertam que todas as organizações devem dar continuidade - ou, em alguns casos, começar a pensar - de forma imediada às adequações necessárias para garantir a segurança no tratamento dos dados. No entanto, não é o que tem ocorrido.
Pesquisa realizada pela consultoria de gestão de riscos e compliance ICTS Protiviti mostra que as organizações estão despreparadas para atender à nova lei. Com a participação de 192 empresas, o levantamento aponta que 84% das entrevistadas seguem sem uma diretriz clara de como proceder. A primeira fase da pesquisa trazia um percentual similar, porém com metade de empresas participantes, o que demonstra que não houve evolução nas medidas de adequação.
O estudo mostra ainda que mesmo as empresas possuem alguns mecanismos para atendimento à LGPD carecem de foco, maturação e eficiência operacional para lidar com a lei. Nessa amostra, 41,3% indicam possuir políticas e normativos e apenas 12,5% dizem ter medidas protetivas para prevenção do risco de vazamento de informações.
Já a gestão sobre o tratamento de dados pessoais por terceiros e fornecedores segue com apenas 17% de indicações positivas. Para piorar o quadro de incertezas, somente um quarto do total analisado conta com programa de capacitação de colaboradores e terceiros.
Embora questione o prazo de vigência da lei estabelecida pelo Senado, a advogada do Nelson Wilians e Advogados Associados, Maria Hosken, vê como positiva a entrada em vigor da norma que garante direitos aos titulares de dados pessoais. 'Às empresas que ainda não iniciaram seu processo de adequação, cabe iniciá-lo o quanto antes de forma a evitar o descumprimento da lei", salienta a especialista.
Segundo o Portal da LGPD criado pela consultoria ICTS Protiviti, que reúne informações sobre a maturidade das organizações em relação ao seu processo de adequação à lei, entre agosto de 2019 e março de 2020 havia uma média de 29,8 registros por mês no portal. Porém, entre abril e junho, a média caiu para 3,3 reGistros por mês, o que significa uma redução de 89% em relação a agosto de 2019. Segundo a consultoria, esta queda significativa se deve à conjunção dos problemas ocasionados pela pandemia e as indefinições sobre a vigência da LGPD.
Proteção dos dados precisa ser implementada imediatamente
Santos alerta que processo pode ser longo e demanda atenção
/Claranet CorpFlex/Divulgação/JC
As organizações que ainda não estão prontas ou sequer começaram a pensar na Lei Geral de Proteção de Dados (LGPD) precisam começar imediatamente a investir na segurança dos dados que possuem, apesar de as penalidades estarem previstas somente para 2021. Quem não tiver experiência deve procurar ajuda profissional, indicam os especialistas. "As empresas necessitam se antecipar na definição de seu plano de trabalho para cumprir a legislação", explica Adílio Santos, gerente de Compliance da Claranet CorpFlex.
"O processo pode ser um pouco longo e, por esse motivo, algumas ações devem ser consideradas", avisa Santos. Primeiro, deve-se fazer uma mapeamento de todos os dados tratados pelos departamentos. Todos os tipos de dados devem ser identificados, tanto os hospedados em ambientes digitais como em ambientes físicos. Em paralelo ao mapeamento, deve-se iniciar a capacitação das equipes internas, comunicação com fornecedores e parceiros, para que também estejam em linha com as características da legislação.
Além disso, o não cumprimento de requisitos ou a falta de governança pode aumentar o risco de sanções, entre elas, a eliminação da base de dados tratada. O tempo de implementação varia de acordo com a maturidade de cada empresa e "a definição de todo o processo pode durar muito tempo e com este novo contexto recém aprovado pelo Senado Federal o tempo deverá ser otimizado priorizando principalmente aquilo que é mais urgente na legislação", indica Santos.
Para os especialistas em cibersegurança da Apura Cyber Maurício Paranhos e Sandro Suffert o primeiro passo deve ser definir e contratar um DPO (Data Protection Officer) ou encarregado de dados. "Mapeie, valide e ajuste seus processos relacionados aos dados de seus clientes. Invista em proteção, mas certamente incidentes acontecem em todas empresas. Portanto, invista também no processo de detecção dos incidentes e de possíveis vazamentos com soluções de Inteligência em Fontes Abertas (Open Source Intelligence) para detectar e reagir contra os incidentes da forma mais rápida e eficaz possível", diz Suffert, diretor-executivo e CEO de cibersegurança da Apura Cyber.
Paranhos lembra que as grandes empresas que já possuem relacionamento com empresas internacionais estão mais maduras em relação a isso, "pois já adequaram seus processos internos para conformidade com a GDPR" - General Data Protection Regulation, legislação da União Europeia na qual a LGPD é inspirada.
Porém, boa parte das empresas começou a se preocupar com o assunto com a proximidade da entrada da lei em vigor. "Isso pode ser ruim pela possibilidade de não haver tempo suficiente para se estruturar de forma adequada quanto a proteção e detecção de eventuais problemas de vazamentos de dados", pontua o especialista de cibersegurança da Apura Cyber.
Demora na regulamentação da Autoridade Nacional de Proteção de Dados traz cenário de instabilidade
O governo federal publicou, também na semana passada, o Decreto 10.474/2020, que traz a estrutura da Autoridade Nacional de Proteção de Dados (ANPD), que tem como objetivo dar efetividade à LGPD. Mas o decreto prevê que a agência passa a poder operar realmente só a partir do dia de nomeação do seu diretor-presidente no Diário Oficial da União - o que ainda não aconteceu
Para o co-head de Proteção de Dados da Advocacia José Del Chiaro, Luiz Felipe Rosa Ramos, chama atenção o fato de que a LGPD entre em vigor "sem que tenhamos uma autoridade de proteção de dados implementada e após meses de pandemia". "Muitas organizações ainda não estão em um estágio avançado na adequação à lei e precisam, mais do que nunca, redobrar esforços. Embora as sanções administrativas só entrem em vigor em agosto de 2021, há outros riscos jurídicos presentes, além do risco à reputação que é sempre muito relevante quando se trata de dados pessoais", diz Ramos.
Entre as competências da ANPD estão fiscalizar o cumprimento da legislação de proteção de dados pessoais e aplicar as sanções administrativas previstas na LGPD no caso de descumprimento da lei. Conforme a LGPD, as empresas que não cumprirem a lei podem sofrer desde uma advertência até a aplicação de multa de até R$ 50 milhões por infração valores que serão definidos após a conclusão de um processo administrativo conduzido pela ANPD, autarquia criada pela lei.
O decreto estipula também as competências de cada um dos órgãos que compõe a ANPD, como o conselho diretor, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (órgão consultivo) e a Secretaria Geral, por exemplo. A ANPD tem como função zelar, implementar e fiscalizar o cumprimento da lei em todo o país. Além disso, serve para regulamentar mais de 20 pontos da legislação e emitir diretrizes sobre o tratamento de dados pessoais.