Eis que finalmente a LGPD se torna vigente – 18 de setembro de 2020, um marco histórico para o Brasil no que tange ao tema – proteção de dados e a privacidade dos titulares dos dados!
Com isso, a LGPD insere o Brasil entre os países seletos reconhecidos internacionalmente como adequados para o tratamento de dados pessoais. Isso significa que eleva a expectativa de que o país possa continuar realizando negócios e fornecendo produtos e serviços para outros países que demandam tal adequação como requisito para tanto.
Mas, e agora por onde começar o processo de adequação da Lei na minha empresa?
A Lei Geral de Proteção de Dados Pessoais (LGPD) representada pela Lei 13.709 de 14.8.2018, contou com generosos 24 meses de vacatio legis para que todos, Administração pública, setor privado e sociedade civil tivessem condições se adaptar às disposições da lei. A título de informação, a vacatio legis corresponde ao período da data de publicação da lei até a data de início da vigência da lei.
Desde a sua publicação, observou-se muitas reviravoltas em torno de sua vigência. Já em 29 de abril de 2020, houve a edição da MP 969/2020 que apresentava em sua ementa outros temas, mas que foi utilizada também para inserir a matéria sobre a LGPD – a extensão para 3 de maio de 2021.
Desde a edição da MP 959/2020, a expectativa girava em torno da votação pelo Congresso Nacional. O assunto mais comentado nas redes sociais era – Será que o Congresso será contra ou a favor da prorrogação da LGPD? Se prorrogada, se tornaria a lei de maior vacatio legis na história do país, desde a instituição da República.
Instalava-se, portanto, uma insegurança no Mercado pois a data anterior do início da vigência se aproximava – 16 de agosto de 2020 além do prazo para a caducidade da MP, as duas Casas (Câmara e o Senador) ainda não haviam votado e somado a ausência da estrutura da ANPD – Autoridade Nacional de Proteção de Dados, órgão fiscalizador que legislará sobre a LGPD e que ainda não havia saído do papel.
No dia 25 de agosto de 2020, a Câmara aprovou a MP nº 959/2020, porém considerando a prorrogação para 31/12/2020, ou seja, prejudicando a matéria estipulada do art. 4º da MP, onde se determinava a prorrogação da Lei para 03/05/2021.
E em 26 de agosto de 2020, finalmente o Senado aprova a MP excluindo o artigo 4º que constava a prorrogação, determinando, portanto, o início imediato da vigência da lei.
E finalmente a MP é sancionada pelo Presidente e em 18 de setembro de 2020 se dá início da vigência da Lei!
Pois bem, agora temos uma Lei em vigor e a ANPD começando a sair do papel! Por onde começar?
Pensando nisso, preparamos um plano emergencial para auxiliar os nossos clientes nas adequações iniciais à LGPD.
Passo 1 – Sensibilize todos os colaboradores da Organização
Certifique-se que as pessoas relevantes da organização como por exemplo, os responsáveis pela edição de políticas conheçam as regras e as implicações da LGPD.
Passo 2 – Revise todos os documentos
Revise e documente todos as atividades de tratamento de dados e processos de segurança da informação da sua Organização.
Esteja certo de identificar: O quê?; Quando? Onde? Por quê? e as bases legais utilizadas no tratamento dos dados.
Passo 3 – Avalie os riscos
Realize uma avaliação de impacto de privacidade das atividades de tratamento dos dados pessoais, com objetivo de mitigar esses riscos – PIA (Privacy Impact Assesssment).
Passo 4- Identifique as medidas necessárias
Identifique todas as medidas que podem ser adotadas referentes aos tratamentos de dados atuais. Planeje e construa mudanças para atingir a conformidade.
Passo 5 – Identifique os parceiros-chave
Identifique os controladores, processadores e sub processadores e trabalhe com eles na criação de instruções de como os dados serão coletados, mantidos ou descartados da Organização.
Passo 6 – Revise contratos e políticas
Revise os contratos existentes e políticas de privacidade e demande o que você precisa de alterações. Atualize a Política do RH (para cumprir princípio da transparência e ciência e informar sobre compartilhamento, atenção com banco de talentos e política de benefícios, bem como dados de dependentes menores).
Passo 7 – Escolha um DPO
Escolha um Encarregado dos Dados (DPO – Data Protection Officer) e divulgue o seu contato. Este profissional será responsável pelo processo de gestão dos dados pessoais e atuará como canal de comunicação entre o Controlador, os Titulares de Dados e a ANPD.
Passo 8 – Informe e faça cumprir
Informe e faça cumprir qualquer modificação em suas políticas, termos & condições e contratos com terceiros. Faça um aviso de privacidade em ambientes de tratamento de dados (como para visitantes – entrada, recepção, por exemplo).
Passo 9 – Gestão dos direitos dos titulares
Estabeleça processos de Gestão de Consentimentos e Gestão de Esquecimento dos Titulares de Dados. Inicie com o atendimento de requisição de titulares.
Passo 10 – Comunicação à ANPD
Estabeleça procedimentos de comunicação à ANPD (Autoridade Nacional de Proteção de Dados). A comunicação ocorrerá em diversas situações, como por exemplo, notificação de vazamento de dados, reporte do relatório de impacto de privacidade, entre outros.
