HOW TO: ALGUMAS IDEIAS PARA A CONFORMIDADE COM A LGPD – PARTE I

HOW TO: ALGUMAS IDEIAS PARA A CONFORMIDADE COM A LGPD – PARTE I

Rubens Francisco de Souza Irrera

Ainda que as dúvidas quanto à vigência da lei persistam, todos concordam que não há mais tempo para estar em conformidade com a lei. Um projeto completo de LGPD, dependendo do porte da empresa, pode levar de 9 a 12 meses[1]. Ou seja, a lei entrando em vigor agora, em agosto de 2020, ou em maio de 2021, o tempo é mais do que curto!

Fato é que o ponto mais importante para a completude da lei, sua regulamentação, fiscalização e sanção administrativa[2] ainda não “existe”: a Autoridade Nacional de Proteção de Dados (ANPD). No entanto, isso não quer dizer que a lei permanecerá sem aplicação.

Pelo contrário: no primeiro dia de vigência da lei teremos a atuação dos Ministérios Públicos estaduais, dos PROCONs e órgãos de defesa do consumidor, Institutos dos mais variados (São Paulo já conta com o SIGILO[3] – Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação) e ações privadas dos próprios titulares de dados. Ou seja, o assunto será judicializado e, nesse ponto, não se sabe como os tribunais do país tratarão o tema.

Portanto, não perca tempo! O primeiro passo não poderia ser outro que não a leitura da lei. Parece o óbvio, mas, infelizmente, muitas pessoas buscam site e artigos da internet, com entendimentos dos mais diversos da lei, na esperança da famosa “receita de bolo”. Não há[4]!

Vá à fonte! Faça a leitura completa da Lei 13.709/2018 e, nesse ponto, dê especial atenção aos conceitos da Lei (Art. 5º – será o glossário mais importante que você terá para tratar o assunto) e continue com os princípios da lei (Art. 6º – que além da boa-fé, possui em seus três primeiros incisos definições importantíssimas: finalidade, adequação e necessidade).

Agora faça uma pausa, antes de continuar no Tratamento dos Dados, dê um “pulo” nos art. 17 a 19. Lá se encontram os direitos do Titular de Dados. Se você fez a lição de casa (leitura dis Art. 5º e 6º) e sabe o que é um dado pessoal[5], você também já sabe que tratará alguns dados pessoais, minimamente dos seus empregados e funcionários, além dos seus clientes pessoas físicas! (A lei só protege dados pessoais).

Entenda como você será cobrado pelo titular. Coloque o titular no centro do seu foco, tanto de atuação, como de adequação. E o caminho começa a se desenhar. Esteja atento que seu empregado, seu cliente, ou qualquer outra pessoa que, por exemplo, se cadastrou ou visitou seu site ou empresa[6] poderá questioná-lo: Você possui algum dos meus dados pessoais? O que você sabe sobre mim em seus sistemas, e-mails, arquivos eletrônicos ou documentos físicos? Para que você trata meus dados? Com quem você divide meus dados? Por quanto tempo você fica com meus dados?

E esse é só o começo. Não se esqueça de que o Titular pode pedir uma cópia dos dados, solicitar a revogação do consentimento ou, ainda, a eliminação dos dados (caso não haja base legal adequada ou no caso de revogação do consentimento). E todas essas respostas devem ser dadas no prazo máximo 15 dias (art. 19, II)!

Você está pronto para isso? Deixei suas dúvidas nos comentários, é hora de traçar o caminho rumo à adequação. Aguarde a próxima publicação

______

Rubens Francisco de Souza Irrera é Formado em Análise de Sistemas e Direito, possui especializações em Criptografia e Segurança de Redes (UFF), MBA com ênfase em Gestão de Projetos, especialização em Direito Digital (FGV Law) e atua na área de Compliance na Empresa de Tecnologia da Informação do Município de São Paulo.


[1] Disponível em: https://www.nextlawacademy.com.br/blog/como-adequar-a-empresa-a-lgpd – Artigo da sempre necessária mestra Viviane Maldonado.

[2] As sanções foram postergadas para agosto de 2021, pela lei 14.010/2020.

[3] https://sigilo.org.br/

[4] Como já foi dito no artigo anterior. Disponível em: https://ceiat.com.br/index.php/2020/08/11/estamos-a-poucos-dias-da-lgpd-lei-geral-de-protecao-de-dados-e-agora/

[5] Art. 5º, dado pessoal: informação relacionada a pessoa natural identificada ou identificável (ou seja, aquela informação que identifica “de cara” a pessoa, como o nome, o RG, o CPF, até aquele outro dado que, junto com o contexto de outros, pode levar a identificação, como o CEP, atividade profissional, informações de geolocalização e, até mesmo, gostos e atividades dos indivíduos)

[6] Dependendo da programação do site, você pode registrar informações como o IP (Internet Protocol) do visitante, que pode tornar o Titular identificável. Se você tem câmeras ou controle de acesso em sua loja ou empresa, você também está tratando dados pessoais de quem entra no estabelecimento.

Deixe uma resposta