*Por Thiago Bento
No dia 26 de agosto, o Senado Federal decidiu considerar prejudicados os dispositivos referentes à LGPD na MP 959/2020, o que, na prática, traz de volta à validade de seu texto original, o que significa a volta do prazo do texto original da lei, de 14 de agosto.
Desta forma, assim que o presidente Jair Bolsonaro sancionar a MP 959/2020 em seus demais pontos, a Lei Geral de Proteção de Dados passará a valer imediatamente, sendo importante ressaltar que tal sanção deve acontecer a qualquer momento, uma vez que o prazo de 15 dias úteis para tal providência se esgota em 15 de setembro . Ou seja, é fato que dentro de poucos dias a lei estará em vigor.
Outra notícia importante, é que nesse ínterim foi criada também a Autoridade Nacional de Proteção de Dados (ANPD), uma agência reguladora criada em moldes parecidos com os da ANAC ou ANATEL, e que será a responsável por fiscalizar o cumprimento da lei.
Embora as sanções passem a valer somente em agosto de 2021, a vigência da LGPD traz sérias consequências para as empresas e para os titulares de dados. Isso porque uma lei vigente é base para processos judiciais e fiscalização por outros órgãos das esferas administrativas e judiciais, como é o caso do Ministério Público, do Procon e outros.
Atualmente, já se vê autuações milionárias sendo aplicadas aos gigantes do varejo e das telecomunicações, com base em princípios da LGPD que se encontram positivados também em leis como o Código de Defesa do Consumidor.
Assim, a necessidade de adequação ganha especial importância, visto que até as sanções passarem a valer, nada impede que consumidores insatisfeitos com o modo como seus dados são tratados acionem Juizados Especiais Cíveis, a Justiça Comum ou o Procon, ou mesmo que o Ministério Público fiscalize, de modo proativo, o cumprimento dos preceitos.
Diante deste cenário, cabe lembrar quais são esses preceitos ou princípios da LGPD. Em primeiro lugar, as empresas devem tratar dados com transparência, informando aos seus titulares o que é feito de maneira simples e fácil de entender. Devem também estabelecer e respeitar a finalidade para o tratamento dos dados, que precisam ser claras e específicas, e não podem ser estendidas sem a prévia comunicação e concordância dos consumidores.
Além disso, os dados devem ser minimizados. Ou seja, somente o necessário deve ser coletado e tratado de maneira adequada ao que foi informado. As empresas devem se capacitar para disponibilizar o livre acesso dos titulares aos seus próprios dados, caso seja requerido e os dados jamais podem ser utilizados para fins discriminatórios.
Do mesmo modo, o tratamento de dados pessoais deve levar em consideração também a qualidade dos dados. Diferentes bases de dados devem ainda conversar entre si, para que os dados sejam corretos e atualizados, inclusive quanto aos direitos exercidos pelos titulares. Por fim, as companhias precisam garantir a segurança, com a adoção de medidas efetivas para a proteção dos dados contra invasões, violações e incidentes, do mesmo modo que as empresas devem ter políticas de prevenção de danos.
Todos esses princípios de proteção devem ser comprováveis, sem que seja necessário que um titular insatisfeito prove que a empresa errou, ou que a autoridade justifique as suas razões para uma fiscalização. Portanto, o fato é que a adequação requer um grande esforço por parte das organizações, razão pela qual não podem esperar a vigência das sanções para mapear os dados que são tratados, estabelecer boas práticas de governança, reforçar sua proteção jurídica com contratos e acordos adequados e implementar mudanças sistêmicas necessárias. Agora é para valer e as empresas não podem perder tempo.
*Por Thiago Bento é líder de Privacidade e Proteção de Dados da Everis Brasil
