Início da vigência da Lei Geral de Proteção de Dados

No último dia 26 de agosto o Senado Federal aprovou a medida provisória nº 959/2020 que adiava, em seu art. 4º, o início da vigência da LGPD (Lei Geral de Proteção de Dados). Ocorre que o art. 4º, foi considerado prejudicado e, assim, o adiamento nele previsto não ocorrerá.

Sendo assim, a Lei Geral de Proteção de Dados entrará em vigor em até 15 dias, logo após sanção ou veto do restante do projeto de lei de conversão, nos exatos termos do § 12 do art. 62 da Constituição Federal:

“Art. 62 (…)

• 12. Aprovado projeto de lei de conversão alterando o texto original da medida provisória, esta manter-se-á integralmente em vigor até que seja sancionado ou vetado o projeto.”

Há um grau de incerteza quanto à vigência da Lei, podendo a matéria, inclusive, ser discutida judicialmente. Ora, a LGPD prevê a criação de uma Autoridade Nacional de Proteção de Dados, tendo sido publicado no Diário Oficial da União o decreto 10.474, que aprova a estrutura da Autoridade Nacional de Proteção de Dados, ainda que esse órgão não tenha nenhuma previsão para funcionamento e nem equipe para exercer suas funções.

Se houver uma reclamação feita por um titular de dados pessoais, por exemplo,  não haverá a quem encaminhar a reclamação.

Embora multas e punições estejam com previsão para serem aplicadas apenas em agosto de 2021, as empresas devem iniciar uma corrida contra o tempo para dar início ao projeto de proteção de dados.

Isso quer dizer que a partir da sanção presidencial qualquer titular de dados poderá exigir das empresas as informações sobre a base dados pessoais constantes em seus sistemas, solicitar exclusão, esclarecimentos e inclusive a questionar a forma de compartilhamento desses dados.

E as empresas, em contrapartida, deverão realizar o tratamento da base de dados respeitando o que dispõe o art 6º da LGPD:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

É valioso ressaltar que qualquer incidente de tratamento de dados pessoais precisará ser informado e as empresas que não respeitarem a Lei Geral de Proteção de Dados poderão pagar multas milionárias.

Dessa forma, orienta-se que toda Pessoa Jurídica que tenha uma base dados pessoais, caso não tenha uma política de compliance e proteção de dados, deve iniciar de imediato os trabalhos para o processo de adequação, garantindo a segurança das informações e o cumprimento da norma.

Por Ronald Feitosa, Sócio-Diretor da Área Cível IGSA.