[ATUALIZADO] O prazo da Lei Geral de Proteção de Dados foi adiado: e agora?

Entenda o que significa o adiamento da LGPD em meio à pandemia e como seu negócio pode se beneficiar da medida

 

Segundo o Digital 2019, um relatório sobre a utilização global da internet publicado pela Hootsuite, 55% dos usuários de internet brasileiros demonstram algum tipo de preocupação com a privacidade de seus dados online. Isso coloca o país atrás apenas de Espanha, México e Colômbia entre aqueles em que esse tópico exerce maior influência sobre a população. Aliás, as estatísticas brasileiras, isoladas, ultrapassam a média mundial, que indicam 44% de preocupados.

Rotineiramente, graças a falhas de segurança, milhares de informações pessoais circulam pela internet livremente, reforçando a aflição de muitos. Neste ano, medidas importantes, que resolveriam parte desses problemas, prometiam entrar em vigência. O prazo para se pôr em prática a Lei Geral de Proteção de Dados, a LGPD, aprovada em julho de 2018 pelo Congresso Nacional, após um longo debate sobre proteção de dados individuais iniciado ainda em 2010, estava previsto para o próximo mês de agosto.

No dia 29 de abril, no entanto, foi publicada a Medida Provisória 959 de 2020, assinada pelo presidente da República, Jair Bolsonaro, e pelo ministro da Economia, Paulo Guedes, adiando sua vigência para maio de 2021. A medida não deve ser encarada exatamente como uma surpresa. Um projeto no Senado Federal já a defendia, postergando a vigência da lei para janeiro de 2021, enquanto outro em tramitação na Câmara dos Deputados buscava adiá-la para agosto de 2022.

Na prática, o que se seguiu desde a aprovação da lei, durante o período previsto para a adequação das práticas empresariais? Acompanhe conosco:

O que prevê a LGPD?

Aqui no blog da Twist, já abordamos a LGPD e algumas de suas questões históricas em outras ocasiões, mas é importante ressaltar alguns de seus pontos principais. É comum que, ao realizar atividades corriqueiras na internet, como ao baixar um aplicativo de celular, por exemplo, seja solicitado ao usuário o acesso a diversas informações pessoais, sem que o propósito de cada uma seja explicitado. Grosso modo, a lei institui a todas as empresas com operações no Brasil a soberania do consumidor e seu consentimento no armazenamento de seus dados por terceiros, além de uma relação bilateral mais transparente.

Isso significa que, ao solicitar uma informação pessoal — no caso, qualquer dado que possa levar à identificação direta de uma pessoa, a exemplo de seu CPF, seu RG, o número de sua carteira de habilitação ou de seu passaporte, dentre outros —, a empresa terá que deixar clara a finalidade de sua utilização e a forma como ela será tratada. Mesmo depois de ter seus dados armazenados, o usuário segue tendo poder de decisão, podendo solicitar à empresa detentora a exclusão ou não-utilização deles a qualquer momento.

Há, porém, algumas exceções: o Sistema Federal de Processamento de Dados, o Serpro, a empresa de prestação de serviços tecnológicos do Governo Brasileiro, esclarece que o consentimento não é necessário em situações relacionadas à elaboração de políticas públicas ou de prestação de obrigações legais, por exemplo.

A Autoridade Nacional de Proteção de Dados

A Medida Provisória 869 de 2018 instituiu que deveria ser criada a Autoridade Nacional de Proteção de Dados, a ANPD, cujo trabalho, em linhas gerais, seria fiscalizar se as companhias brasileiras estariam agindo de conformidade com o estabelecido pela nova lei. Caberia a ela, ainda, a solicitação de relatórios sobre privacidade de informações a empresas brasileiras, além do poder de aplicar multas a empresas pegas descumprindo o acordado, limitadas a 2% do faturamento anual da empresa ou R$50 milhões.

Mesmo com o entendimento de que seu funcionamento é crucial para a aplicação da LGPD, a apenas três meses do planejado original, poucos foram os avanços para sua consolidação. A expectativa é que sua instalação fosse efetivada ainda no começo deste ano, mas nenhum nome foi apontado, até o momento, para a diretoria, além de sua estrutura administrativa também não ter sido consolidada.

Ainda, nem a medida provisória editada em 29 de abril nem os projetos de lei em tramitação no Congresso Nacional fazem qualquer menção ao funcionamento da entidade, abrindo espaço para outros adiamentos em decorrência de sua não ativação.

A adequação das empresas

Muito se questiona se a maioria dos negócios brasileiros estaria atuando em conformidade com a LGPD, com a previsão de que ela entraria em vigor ainda neste ano. Esse debate se fortaleceu com a Covid-19, quando empresas, mal ou bem, viram-se com maiores dificuldades de seguirem intensificando seus processos de adequação à lei, considerando a imposição de novas regras trabalhistas por conta da pandemia.

A preocupação tem fundamentos: um estudo publicado pela ICTS Protiviti no último mês de abril, com 192 empresas participantes, revelou que 84% das companhias brasileiras ainda estavam despreparadas para ingressar no novo regime proporcionado pela LGPD.  A pesquisa foi realizada em duas etapas: a primeira foi realizada entre agosto e novembro do último ano, e a segunda, entre novembro e janeiro. Mesmo com a janela temporal de seis meses, os resultados pouco evoluíram ao longo de sua feitura.

Para uma adequação apropriada às novas regras, o Serpro destaca algumas medidas para negócios brasileiros, como:

  • a nomeação de um encarregado em cada empresa para que seja feita a mediação entre a ANPD e os usuários;
  • a identificação e organização dos dados pessoais já disponíveis à empresa, posto que estes irão exigir maiores cuidados no tratamento;
  • a elaboração e envio de comunicados a seus titulares, informando a finalidade que suas informações poderão vir a ter e o tratamento que será destinado a elas;
  • além do item acima, é importante apostar em uma divulgação similar em veículos de comunicação oficiais da empresa, a fim de alertar clientes em potencial;
  • o estabelecimento de protocolos para gerir e notificar brechas de segurança e vazamento de dados, de forma que qualquer ocorrência deve ser informada imediatamente ao titular dos dados e à ANPD;
  • a implementação de planos de capacitação e conscientização de empregados e colaboradores, a fim de que passem a ter noção da dimensão da importância da privacidade de dados pessoais;
  • e a habilitação de meios digitais acessíveis ao usuário, nos quais ele poderá negar permissões à empresa em questão.

O mesmo estudo destacou algumas das principais deficiências das empresas até o momento. Em relação ao protocolado pelo Serpro, o aspecto mais gritante é o despreparo na área de segurança de dados: apenas 13,5% das empresas, ao fim da pesquisa, mostraram possuir algum tipo de medida de proteção contra vazamentos indevidos. Em torno de 25% delas responderam que investem em programas de capacitação para o quadro de funcionários.

O que fazer agora?

Assim como o isolamento social pode servir como um catalisador para a transformação digital de uma empresa, ele também pode, similarmente, impulsionar a adequação à LGPD. Uma das principais questões da transformação digital é tornar os dados cada vez mais acessíveis às empresas que os detêm, facilitando processos e auxiliando a tomada de decisões importantes.

Uma vez que os dados de uma empresa estão mais acessíveis, é mais fácil criar bancos não só menos bagunçados, mas mais seguros, além de poder organizar suas informações seguindo as diretrizes exigidas pela nova lei. Se um cliente requer a exclusão de seus dados e a não utilização deles no futuro, tê-los de forma acessível e poder realizar isso rapidamente pode evitar futuras complicações legais, por exemplo.

 

Hoje, nos deparamos com um consumidor cada vez mais influente nas decisões de um negócio e mais consciente de seus direitos. Ressaltamos, então, a importância de ir além. Enquanto durar o isolamento para as empresas que puderam adotar o home office, o máximo de tempo possível deve ser direcionado a ações que aumentem sua concordância com a LGPD, atendendo a demandas jurídicas, comerciais e internas.

Continue acompanhando nosso blog e assine nossa newsletter para mais atualizações do mundo da Ciência de Dados como essa. Se você acha que a Twist tem as melhores ferramentas de gestão e qualidade de dados para sua empresa, fale conosco!

Atualizado às 14:45 do dia 29/05/2020: no dia 20 de maio, o Senado Federal aprovou o Projeto de Lei 1179 de 2020, que prevê a antecipação da vigência da LGPD mais uma vez para agosto deste ano. Além disso, ele adia a aplicação de multas apenas para agosto do próximo ano. O projeto está em tramitação na Câmara dos Deputados e, depois, seguirá para sanção presidencial.

Se inscreva na nossa newsletter