Com as constantes mudanças da LGPD, é preciso saber como navegar. Neste artigo, explica-se as alterações na vigência da lei e sobretudo como atuar neste cenário.
Qual o cenário: Confusão no início da vigência da LGPD
Ao ser publicada a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709, de 14 de agosto de 2018) estabelecia um período de 18 meses para sua entrada em vigor. Posteriormente, por meio da Lei nº 13.853/2019, alterou-se o prazo para 24 meses.
Dessa maneira, até o começo deste ano, afirmava-se que a LGPD estaria vigente a partir de agosto de 2020. O longo período de vacância (como se chama juridicamente o tempo até a lei entrar em vigor) se harmoniza com a complexidade dos impactos que a lei proporciona, os tempos necessários para adaptação. O prazo de 24 meses inclusive repetia a duração adotada para a entrada em vigor do Regulamento Geral de Proteção de Dados da Europa, no qual a LGPD em muito se inspirou. Na sequência, no entanto, as empresas brasileiras deparam-se com uma enorme confusão legislativa.
No início de abril, havia sido aprovado, no Senado Federal, projeto de lei que alterava o início da vigência da Lei Geral de Proteção de Dados Pessoais, para janeiro de 2021. Posteriormente, por meio de medida provisória de 29 de abril, a MP nº. 959/2020, a data do início da vigência da lei foi alterada para 03 maio de 2021.
Não fosse suficiente tantas alterações, em 14.05.2020, a Câmara dos Deputados aprovou o Projeto de Lei nº 1.179/2020, que além de criar normas específicas para as relações contratuais enquanto durar a epidemia de Covid, altera novamente a vigência da LGPD, ao estabelecer que suas penalidades valem a partir de 1º de agosto de 2021. Por sua vez, em 19.05.2020, o Senado alterou o projeto e aprovou a entrada em vigor da LGPD agora em agosto, ressalvando que suas penalidades entram em vigor apenas em 2021.
Como lidar com a proteção de dados dentro das empresas neste cenário
Para compreender melhor como agir neste cenário de prorrogações, são importantes algumas orientações práticas:
1-) As múltiplas mudanças na data de início da LGPD evidenciam que as empresas estão bastante preocupadas, e contraditoriamente, com níveis insuficientes de implementação de mecanismos adequados de proteção de dados;
2-) Diversas decisões judicias têm utilizado a LGPD como parâmetro e asseguram a proteção de dados com outros fundamentos, inclusive a Constituição, Código Civil, Código de Defesa do Consumidor. Merece destaque, a fundamentação pelo Supremo Tribunal Federal, da decisão que negou acesso ao IBGE do acervo de dados das empresas de Telefonia e a determinação de adequações em face da VIVO. Significa que a proteção de dados pessoais não depende da vigência da LGPD, e a prorrogação dos prazos de entrada em vigor da lei, não permite as empresas deixarem a proteção de dados em segundo plano.
3-) As empresas brasileiras não podem esquecer que na Europa, o Regulamento Geral de Proteção de Dados Pessoais (RGPD) já está em vigor desde 2018, de modo que para atender a clientes europeus, serão necessários cuidados especiais.
4-) A implementação da LGPD, dentro das empresas, constitui um processo longo, complexo, que envolve vários departamentos e áreas do conhecimento. Desta maneira, a despeito da confusão, a prorrogação da LGPD significa, sem dúvidas, mais tempo para as providências necessárias, mas está longe de sinalizar tranquilidade.
5-) Para as empresas cujos projetos de implementação da LGPD já estão em curso, o alargamento do prazo da vigência da lei permitirá avançar em etapas de longo prazo, testar sistemas e reforçar o treinamento. Isso é importante porque as adequações são feitas de forma gradual e a maturidade de proteção de dados das empresas, quando a lei estiver vigente, será maior.
6-) Para quem não começou, é preciso lembrar que a LGPD se aplica a todas as empresas, de todos os ramos, e a nova prorrogação é uma chance que não pode ser perdida. Em comparação, estudos[1] demonstram que na Europa, mesmo um ano depois do início da legislação de proteção e dados (GDPR), aproximadamente metade das empresas com até 500 funcionários não cumpriam os requisitos básicos de compliance de dados exigidos pelo regulamento europeu. Nem ao menos, haviam identificado a base legal (fundamento legal) para utilização de dados.
O Relatório informa também que dois terços das empresas informaram usar criptografia ponta-a-ponta em seu e-mail, todavia, menos de 10% souberam indicar qual seria o serviço que cumpriria tal exigência na empresa.
Para concluir, o momento não é de tentar adivinhar quando a lei entra em vigor. É preciso trabalhar com seriedade para estabelecer diagnósticos da realidade das empresas, mapear fluxos, inventariar os dados, definir e implementar as políticas de proteção de dados.
Gabriel Schulman
Advogado – Trajano Neto e Paciornik Advogados
[1] GDPR.EU. 2019 A report by Insights from European small business leaders one year into the General Data Protection Regulation. 2019.