Quais são os próximos passos para a vigência da LGPD

Foi aprovado no fim de maio o Projeto de Lei nº 1.179/2020, no Senado Federal, que altera a data de vigência da Lei Geral de Proteção de Dados. O PL determinou que os artigos 52 a 54 da LGPD, que tratam das sanções aplicáveis em caso de violação da Lei, terão efetividade somente no dia 1º de agosto de 2021. Os demais dispositivos da Lei seguem com vigência no dia 3 de maio de 2021, conforme determinado pela Medida Provisória nº 959/2020.

No dia 12 de junho, o presidente Jair Bolsonaro aprovou parcialmente o Projeto de Lei 1.179,e manteve artigo 25 do PL - que trata o adiamento das sanções decorrentes do descumprimento da LGPD para 1º de agosto de 2021. O Congresso Nacional, porém, ainda precisa apreciar a Medida Provisória nº 959/2020. Caso a MP seja rejeitada - ou venha a caducar, que é quando a lei não é votada em 120 dias, contados a partir de 29 de abril de 2020 -, a LGPD passa a vigorar em 14 de agosto deste ano. Mas, se a Medida Provisória for aprovada, então entrará em vigor em maio de 2021 , conforme determina a Lei nº 1.179/2020.

É sabido de todos os embates entre o Executivo e Legislativo e da existência de um acerto entre os parlamentares para que a MP 959/2020 venha a caducar. Com isso, a LGPD entraria em vigor em 14 de Agosto de 2020 e as suas sanções via ANPD (Autoridade Nacional de Proteção de Dados) somente em 1º de agosto de 2021.

As empresas podem postergar sua implementação para 2021? De maneira alguma, sobre o forte risco de expor a companhia a inúmeros processos jurídicos. Explico aqui os motivos para o não adiamento da implantação da LGPD nas empresas:

• Embora a ANPD não possa fiscalizar as empresas, nada impede que outros órgãos façam tais como Procon ou Ministério Público Estadual e Federal Um titular de dados que entenda que seu direito esteja sendo agredido pode entrar com um processo na esfera cível.

• O STF já considera em seus julgamentos a existência e realidade da LGPD- no dia 7/05 o Plenário do Supremo Tribunal Federal referendou a decisão liminar para suspender a Medida Provisória 954, que libera o compartilhamento de dados pessoais por empresas de telefonia com o Instituto Brasileiro de Geografia e Estatística (IBGE). A relatora, ministra Rosa Weber utilizou em seu voto a LGPD como base de sua decisão e foi acompanhada por seus pares.

Resumidamente, a partir de agosto de 2020 as empresas poderão sofrer vários processos e fiscalizações por não cumprirem com as normas da LGPD, o que em termos financeiros e de imagem são muito mais gravosos que as sanções da ANPD, que ficarão para agosto de 2021.

O que fazer então:

Às empresas que não iniciaram seus preparativos e têm agora pouco mais de 3 meses para adequação, a sugestão é de que trabalhem com se adequarem nós sugerimos que sejam feitas 2 etapas:

• Emergenciais para atendimento da LGPD para agosto de 2020
• Necessárias para atendimento completo a LGPD até suas sanções em 2021

Nas emergenciais somente identifico:
- Assessment + Implementação de processos manuais para atender os direitos do Titular e atendimento de solicitações do Regulador

Atendimento completo

- Assessment + Proposta para atender de modo incremental a implementação das jornadas para atender os direitos do Titular e atendimento de solicitações do Regulador, de acordo ao cenário identificado no Assessment e com a maior eficiência possível e implementar entre outros:

1.Criação de Política de Privacidade

2. Nomeação e publicitação do DPO

3. Realização de um Assessment para entender quais processos tratam dados pessoais e quais estão mais expostos para eventuais demandas judiciais.

4. Criar o mapeamento de dados e inventários para que se possa identificar onde estão os dados pessoais em sua empresa e como podem, mediante a solicitação do titular de dados, prestarem acessos aos seus direitos.

5. Implantar um portal de direitos dos titulares, tais como:

• Confirmação da existência dos dados da pessoa física na instituição

• Relatório detalhado dos dados da pessoa física na instituição

• Coleta e gestão das autorizações para uso dos dados (Consentimento)

• Eliminação dos dados identificáveis

• Não autorização para tratamentos de legítimo interesse

• Portabilidade completa de dados

• Atualização dos dados

• Pedido de revisão das decisões tomadas por processos automatizados

6. Treinamento

7. Políticas de Privacidade detalhadas

8. Mapeamento dos Processos e linhagem de dados

9. Análise de impacto de Privacidade ( DPIA)

10. Tratamento de Dados para segurança e privacidade

§ Controles da ISO 27001

§ Segurança de Rede, acesso, aplicação, dados

§ PET de Privacidade

§ Engenharia de Privacidade

§ Revisão de Decisões Automatizadas

§ Mascaramento

§ Criptografia

§ Monitoramento

§ Anonimização

§ Portabilidade

11. Processo de Gestão de Privacidade

§ Manter Estrutura DPO

§ Manter Políticas de Privacidade

§ Manter Catálogos de Dados

§ Realizar descoberta de Impactos ( DPIA)

§ Operar Privacy by Design

§ Gerenciar riscos de Terceiros

§ Certificar Privacy by Design

§ Gerenciar Violações de Privacidade

§ Análise e Respostas as Solicitações

§ Monitorar Privacidade

§ Manter Treinamentos

§ Manter Comunicação

§ Manter Suporte aos Processos

12. Avaliação de Impacto de Proteção de Dados com o DPIA

§ Desenvolvimento com Proteção de Dados por Design e por Padrão

§ Etapas da Engenharia de Privacidade

§ Certificação do Produto para Privacidade

§ Auditoria de Privacidade nos Processos

Compreendo que entender todos os trâmites da LGPD neste momento podem ser complicados, mas ter informações precisas são extremamente necessárias para acelerar as transformações digitais das companhias e a a adequação às demandas regulatórias da lei.

(*) DPO (Data Protection Officer) e especialista em segurança da informação da GFT Brasil.