Por Camila Camargo e Rafael Cruz*
Depois de muito debate e expectativa, a Lei Geral de Proteção de Dados, a “LGPD” entrou em vigor para todos os direitos, deveres e obrigações lá previstos, com exceção da fiscalização pela Autoridade Nacional de Proteção de Dados, que terá início apenas em 1º de agosto de 2021.
Este “período de carência” para o início da fiscalização e aplicação de sanções não deve ser entendido como um prazo adicional e certamente é melhor não esperar até lá para se preocupar com o tema. Por quê? Bem, porque com a entrada em vigor da LGPD já é possível que os titulares de dados pessoais ou até mesmo outros órgãos, como o Ministério Público e os Procons, por exemplo, demandem judicialmente sobre questões relacionadas ao tema.
Como exemplo, em 21/09/2020, poucos dias depois da sanção presidencial que confirmou a vigência da LGPD, o Ministério Público do Distrito Federal e Territórios (MPDFT) ajuizou ação civil pública perante a Infortexto Ltda., com base na LGPD, entre outras leis aplicáveis naquele caso.
Bem, e o que muda com esse “novo” cenário? Em 30 segundos: nós, como titulares de dados pessoais, passaremos a ter um controle maior sobre nossos dados pessoais, com o poder de escolha sobre o tratamento das nossas informações. As empresas, por outro lado, terão um papel relevantíssimo na mudança de cultura inerente à LGPD, na medida em que ou se adequarão aos princípios e obrigações da lei, para um tratamento de dados adequado e transparente ou se verão ao poucos isoladas, não podendo contratar certos fornecedores ou oferecer produtos a certos clientes, em estruturas contratuais que exigirão adequação comprovada à LGPD.
Neste sentido, é interessante lembrar que um comportamento sério e comprometido com a proteção de dados pessoais, por intermédio do estabelecimento de um programa de governança em privacidade sólido, não deve ser encarado como mera compliance, mas como uma oportunidade de geração de valor, internamente, perante os próprios colaboradores e a equipe da empresa, e externamente, perante clientes, consumidores e fornecedores. Ainda, é esse programa de governança em privacidade que permitirá que as empresas brasileiras continuem transacionando com empresas localizadas na União Europeia e em outros países e regiões que já possuem normativas relevantes de proteção de dados pessoais.
A implementação de um programa de governança em privacidade pressupõe um projeto específico e bastante articulado para adequação aos requisitos legais, que envolve a empresa e, eventualmente, consultorias externas para temas específicos como a consultoria jurídica e as consultorias de Tecnologia da Informação e/ou Segurança da Informação.
A rigor, esse projeto engloba (1) a conscientização e treinamento da equipe, (2) a revisão das atividades da empresa que pressupõem o tratamento de dados pessoais (para avaliação e diagnóstico da extensão e forma da coleta e da utilização de dados pessoais) e, finalmente, (3) o plano de ação, onde são estabelecidas as medidas internas de adequação, a elaboração da política de privacidade e outros documentos relevantes, assim como os procedimentos que serão realizados perante fornecedores e clientes, por exemplo.
Em virtude da entrada em vigor da LGPD, torna-se relevante que as empresas iniciem essa jornada tão logo possível, especialmente para identificar as áreas mais afetadas e assim estabelecer as medidas prioritárias para buscar a adequação, a exemplo da criação de um canal direto de comunicação com titulares de dados pessoais e medidas básicas internas para permitir o exercício dos titulares de dados pessoais.
(*) Camila Camargo e Rafael Cruz são sócios da Andersen Ballão Advocacia.