Cuidado com o que você lê!
SENADO APROVA POSTERGAÇÃO DA ENTRADA EM VIGOR DA LGPD
Por Laura Carvalhal – Pesquisadora do GEDAI
O Senado Federal aprovou o Projeto de Lei (PL) nº 1.179, de 2020, que dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do Coronavírus (Covid-19) postergando a entrada em vigor da LGPD.
O PL trata de vários problemas de Direito Privado decorrentes do período excepcional de calamidade pública causada pela pandemia do Coronavírus (Covid-19), dentre eles altera a entrada em vigor de alguns dispositivos da Lei Geral de Proteção de Dados Pessoais – LGPD.
O texto agora foi submetido à revisão da Câmara dos deputados, e sendo aprovado nos termos que foi envidado, no tangente à postergação da entrada em vigor da Lei Geral de Proteção de Dados Pessoais a nova redação do art. 65 da Lei ficará assim determinada:
Art. 65. Esta Lei entra em vigor: (Redação dada pela Lei nº 13.853, de 2019)
I – dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e (Incluído pela Lei nº 13.853, de 2019)
II – 1.º de agosto de 2021, quanto aos artigos 52 ao 54; (NR do PL 1179/2020)
III – 1.º de janeiro de 2021, quanto aos demais artigos. (incluído pelo PL 1179/2020)
Isto significa que:
- Sim, uma parte da lei já está em vigor! Entre outros dispositivos, os que se referem à Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
- As sanções administrativas[1], só poderão ser exigidas a partir de 1.º de agosto de 2021;
- A partir de 1.º de janeiro de 2021 as empresas precisarão demonstrar que estão em conformidade e que possuem boas práticas para proteção dos dados pessoais e o cumprimento de todos os demais princípios da lei.
E porque é importante saber disso? Por que a ANPD e o Conselho Nacional estão sendo gradativamente constituídos pelos membros indicados e por que, a partir de 1.º janeiro:
- todos os titulares poderão exercer seus direitos[2] e sua empresa precisará, nos prazos que a lei assinala, dar essas respostas;
- Todas as regras de boas práticas e governança devem estar alinhadas e capazes de serem demonstradas em caso de auditorias contratuais.
- A adoção de medidas de segurança, técnicas e administrativas adotadas devem ser capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
- Caso ocorra um incidente de segurança de informação, seu plano de respostas deve estar preparado para ser aplicado.
Não se trata somente nas sanções administrativas. Essa Lei tem uma série de princípios que precisam estar demonstrados nas políticas e diretrizes da empresa. Confiar na postergação da lei e não pensar em aproveitar esse prazo para implementar um Sistema de Gestão de Proteção de Dados e Privacidade adequado, pode trazer um risco desnecessário às empresas.
Se as sanções só poderão ser exigidas a partir de agosto de 2021, para este ínterim temos o judiciário, pedidos de esclarecimentos, prestação de contas que poderão ser feitos por titulares, PROCON, SENACON, Ministério Público, sem contar na ANPD.
Tenha em mente que as sanções administrativas são passíveis de recursos, eventual dano reputacional não! Este certamente não está no período de vacacio legis!
E as consequências do risco à reputação podem ser diversas e afetar parte ou toda a sociedade; é difícil mitigar os danos que podem ocorrer se não houver mecanismos de prevenção, controle e resposta que devem ser pensados, discutidos e aprovados dentro da estrutura da empresa.
Entre as circunstâncias que podem aparecer como consequência desse risco estão a perda de confiança e lealdade dos colaboradores; a redução da confiança e satisfação do consumidor, custo de capital, e maior dificuldade em lidar com situações de crise.
Não corra este risco. Aproveite o novo prazo para melhoria do projeto, se já iniciado. Aproveite o novo prazo para iniciar, se ainda não o fez. Aproveite este prazo para avaliar, se já está completo.
Aperte o cinto e start now!
[1] I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
[2] I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.