A LGPD – Lei Geral de Proteção de Dados –, pauta de discussões há alguns anos, recentemente teve forte impacto com a decisão do Senado Federal em 26 de agosto de 2020, pela rejeição em postergar o seu prazo de vigência, prevista na MP 959/2020, cujo artigo foi excluído do texto.

Inicialmente prevista para entrar em vigência em agosto de 2020, com o início da pandemia da Covid-19, teve o prazo dividido em duas etapas:

  • Penalidades administrativas, ou seja, aquelas que podem ser aplicadas por órgãos públicos como o PROCON, foram alteradas e somente passarão a valer a partir de agosto/2021, nos termos da Lei nº 14.010/2020;
  • Todas as demais regras, como os direitos dos titulares e os deveres das empresas, tiveram o prazo alterado pelo Senado, e passarão a valer a partir dos próximos dias, quando deve ser convertida em Lei a MP 959/2020.

A sanção da LGPD completou dois anos em 14 de agosto de 2020. A MP adiava a vigência da lei para maio de 2021, e na Câmara o prazo havia sido encurtado para 31 de dezembro deste ano, em votação no último dia 25 de agosto.

“Teremos a visualização de regras claras para todas as empresas e pessoas, a partir de agosto de 2021, prazo para adequação e modernização à nova normatização“, afirmou o presidente do Senado, Davi Alcolumbre.

O assunto, de qualquer forma, é alvo de muitas críticas e discussões, quanto ao momento econômico que o País vem enfrentando e, ainda, sobre o conteúdo e responsabilidades envolvidos. Não se discute a importância de tal medida, para o respeito e uso dos dados da Pessoa Física, hoje com o abuso de quem o faz, sem qualquer critério, segurança ou sigilo, de forma que será benéfico não só para os consumidores, mas para os negócios também.

Porém, a repercussão quanto à vigência causou um alvoroço no mundo dos negócios, na adaptação da atividade, atualização dos sites e aplicativos, e inclusive, na adoção de políticas de privacidade, das empresas e entidades representativas. Embora não tome nota, o Governo e sua infraestrutura também terão de responder pelo uso indevido.

A obrigatoriedade atinge todos os tipos de negócios, independentemente do porte, segmento, setor público ou privado, Micro ou Pequenas Empresas, de médio ou grande porte, nacionais ou internacionais, públicas ou privadas, que deverão entender, atentar e adotar todos os cuidados necessários, cumprir e estar de acordo com a Lei, para que o armazenamento, manipulação e uso de dados pessoais obtidos, tenha a devida e correta utilização, com a autorização necessária do proprietário desses dados, sob penalidades, não só financeiras como da imagem.

Momentaneamente, os negócios que não se adequarem a tempo, estarão livres da aplicação de penalidades administrativas até o ano que vem, mas as demandas e pedidos de informações, correções e exclusões dos titulares dos dados pessoais, bem como de entidades fiscalizadoras, inclusive vazamento ou uso indevido de dados, já tiveram início e com prazos para resposta, que deverão ser atendidos.

Quando do início da vigência, as penalidades para empresas que descumprirem a Lei podem variar, dependendo da gravidade da infração, chegando à suspensão total ou parcial de suas atividades, em tudo que se relacionar o tratamento de dados. A não conformidade no uso dos dados, pode causar grandes prejuízos financeiros à empresa em forma de punição, tais como:

  • Processo, sanções administrativas e advertências;
  • As multas podem atingir até 2% sobre o faturamento;
  • O banco de dados pode ser apreendido;
  • O trabalho com dados pode ser suspenso por, pelo menos, seis meses.

Mesmo que as sanções administrativas passem a valer em agosto de 2021, não vale pensar em deixar a sua preparação mais para frente.

A punição poderá ter atenuantes com reflexo imediato em caso de medidas corretivas, mecanismos e procedimentos internos de proteção de dados, política de boas práticas e governança que já estejam em vigor quando eventual erro ocorrer.

Observamos que, neste cenário, as empresas têm pela frente um grande desafio, com tempo curto para rever seus processos de governança e privacidade de dados, os quais podemos citar:

  • Gestão de consentimento, autorização e revogação;
  • Gestão das solicitações de esclarecimentos, abertas por titulares dos dados, cujo prazo de resposta será curto;
  • Gestão do tempo de utilidade e uso dos dados permitidos dentro da empresa, devendo ser descartados após;
  • Implementação de técnicas de anonimização, em que não se permita a identificação de dados pessoais, cujo processo e procedimento deverá ser comprovado.