Empresas precisam se adequar à Lei Geral de Proteção de Dados, independente da vigência da LGPD

  • Lucca Willians

Especialista afirma que companhias devem adotar conceitos que garantam segurança e privacidade em suas operações

A despeito do imbróglio sobre a data em que a Lei Geral de Proteção de Dados (LGPD) entra em vigor, as empresas precisam se adequar o quanto antes para cumprir os requisitos da nova legislação. É o que diz Adriano Mendes, advogado especializado em Direito Digital, Empresarial e Proteção de Dados. O especialista, que também é consultor para assuntos jurídicos da Trend Micro, empresa líder global em cibersegurança, afirma que mais importante do que a data que a lei passará a valer é o movimento que as companhias em geral devem fazer para que consigam endereçar as exigências da legislação no que tange ao trato e à proteção das informações dos usuários.

"Agora, desde quando a lei entrou em vigor é o de menos, uma vez que as empresas ainda não olharam para as suas implicações. As que não estão se adequando estão perdendo tempo. Ou seja, aquelas que ainda não se adequaram à legislação, deveriam estar fazendo isso independente da vigência da lei", diz Mendes. Para o especialista, o que as companhias precisam realizar no momento é um assessment interno, de modo a verificar quais aspectos da sua operação estariam mais sensíveis às readequações de acordo com a LGPD.

O Congresso não aceitou a prorrogação proposta pela Medida Provisória (MP) 959, editada em abril. Com o veto pelo Senado, a LGPD teve sua vigência novamente alterada, para setembro de 2020. Assim, os efeitos da LGPD passarão a valer após a sanção do Presidente da República no texto de conversão de conversão da MP 959, que deve ocorrer até 17 de setembro, mas a possibilidade de aplicar multas e sanções só passam a valer a partir de 01 de agosto de 2021.

A criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar e normatizar a aplicação da lei, também segue ainda com futuro incerto. Falta a nomeação dos seus diretores pelo presidente da República para a sabatina e ratificação do Senado.

Independente da resolução sobre a validade da lei e suas implicações, Mendes avalia que as empresas não podem aguardar as definições das normativas regulatórias para se adequarem à LGPD. O especialista afirma que companhias de diversos setores terão impacto muito grande nas suas receitas financeiras caso sejam penalizadas pelo não cumprimento da lei. "Empresas com faturamento acima de R$ 1 bilhão, especialmente àquelas com lucro na faixa de 5% da sua receita, além de sociedades controladoras que possuem um grande volume de dados, são as companhias que mais precisam estar preocupadas com os impactos de não adequação à LGPD", afirma.

O consultor jurídico da Trend Micro ressalta que daqui para frente as empresas devem adotar os conceitos de security and privacy by design. Ou seja, todas as iniciativas adotadas dentro das operações das organizações já devem conter  tanto o fator de segurança como de privacidade na sua concepção. "É importante que as companhias tenham claro que medidas de segurança e processos deverão ser documentados para mostrar a transparência e a governança também para a LGPD", diz.

As empresas e os negócios têm o desafio de se adequar aos requerimentos e procedimentos descritos na LGPD para garantir os direitos dos titulares, a aderência aos princípios e fundamentos da Lei, bem como aos procedimentos de resposta a incidentes e aos titulares. "Mapear e monitorar quais circunstâncias a operação coleta, armazena e manipula dados que envolvam informações de pessoas físicas identificadas ou identificáveis é passo primordial. Depois, avaliar se essas informações foram coletadas da maneira correta e qual base legal é a adequada para que se justifique seu uso", ressalta Mendes.

Estudo recente da Trend Micro apontou que a LGPD se aplica a qualquer tipo de negócio e gera reflexões sobre a quantidade de informações que são recolhidas e para qual finalidade. Também há questões que envolvem o compartilhamento de dados com outras empresas e negócios. Mesmo que seja um datacenter, um provedor de hospedagem ou um call center, os fluxos de dados precisam agora ser identificados e analisados para saber como será necessário documentar e o que informar na relação de Controlador e Operador e do Controlador e os direitos dos titulares, avalia o relatório da Trend Micro.