Em menos de seis horas, o Senado aprovou nesta quarta (26) a antecipação da Lei Geral de Proteção de Dados (LGPD) (Lei nº 13.709), removendo o artigo 4º da MP 959/2020, que jogava o início da vigência da legislação para 1º de janeiro de 2021. Além do episódio inédito na história da República brasileira, mais uma surpresa estampou a página do Diário Oficial na madrugada de quinta, o governo federal deu o primeiro passo para a criação da ANPD, a autoridade que deve fiscalizar e punir organizações que não protegerem adequadamente os dados pessoais dos usuários.
A tarde de quarta (26) foi movimentada para quem já acompanhava os capítulos da LGPD. Após sofrer três sucessivos adiamentos, a lei conseguiu dar a volta por cima quando retornou para apreciação no Senado, que optou por retirar o artigo 4º da MP 959, aprovada na última terça-feira (25) pela Câmara dos Deputados. O episódio dito por especialistas como “situação única dentro da legislação brasileira ao levar em conta todo o processo pelos quais passou”, trouxe uma vitória apesar de não ter validade legislativa imediata — segundo o entendimento do Senado, ela só ocorre “após sanção ou veto do restante do projeto de lei em conversão, nos exatos termos do § 12 do art. 62 da Constituição Federal”. Para começar a valer, a presente lei tem um prazo de 15 dias, tempo dado para transformá-la em PLV (Projeto de Conversão de Lei), ou seja, independentemente da decisão do presidente nesse meio tempo, a entrada imediata da LGPD será inevitável.
Na madrugada, mais um episódio inesperado, o governo federal publica no Diário Oficial da União (DOU) desta quinta (26) a estrutura da Autoridade Nacional de Proteção de Dados (ANPD). O órgão será responsável por “zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional”. Na prática, a aplicação das sanções e regulamentação de algumas partes da lei também serão da sua competência, que estará ligada diretamente à Presidência da República.
O Olhar Digital conversou com especialistas em privacidade e proteção de dados para entender quais impactos a entrada da lei nos próximos 15 dias — prazo máximo dado ao Executivo para aprovar o texto — trará à realidade de milhões de brasileiros e empresas.
LGPD aprovada, mas o que muda para o usuário?
Os usuários que tiverem seus dados coletados, seja por qualquer estabelecimento (redes sociais, bancos, hospitais, farmácias, supermercados e qualquer outro serviço que realize a coleta de informações pessoais) passam a ter o direito de receber atualizações claras e específicas sobre a utilização das próprias informações. Além disso, deve ser disponibilizado, de maneira fácil e gratuita, um sistema de consulta sobre o tratamento dado aos dados pessoais dos cidadãos. Além disso, será possível solicitar a remoção completa do material armazenado pelas empresas a partir da revogação do consentimento.
Para a sociedade civil, aprovação da Lei Geral de Proteção de Dados é uma vitória. Créditos: Unsplash
LGPD aprovada, mas como fica a criação de uma Autoridade Nacional de Proteção de Dados?
Na madrugada de quinta, o órgão responsável por aplicar sanções às empresas que desrespeitarem os termos da lei deu o que podemos chamar de primeiro passo: um decreto aprovando a estrutura de cargos e definições quanto às funções da ANPD.
Entre as competências do órgão regulador publicadas no DOU desta quinta, o documento propõe que a autoridade deve:
- Zelar pela proteção dos dados pessoais, nos termos da legislação;
- Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- Fiscalizar e aplicar sanções ao descumprimento dos termos dispostos na LGPD;
- Promover, entre a população, o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais;
- Estimular, entre as empresas, a adoção de padrões para serviços e produtos que facilitem o controle pelos clientes sobre seus dados pessoais;
- Averiguar reclamações não solucionadas entre clientes e empresas, no que tange à violação de dados e privacidade;
- Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados e privacidade.
Apesar de muitos terem sido surpreendidos com a vigência imediata da lei aprovada pelos senadores, o advogado e professor no IDP Danilo Doneda confessa que a publicação de um decreto foi o episódio que chamou mais a atenção. “A lei seria aprovada de qualquer forma, entretanto, não esperava que o governo estivesse organizado a esse ponto, afinal ele é claramente tudo, menos organizado. Até agora, essa foi a surpresa do ano”, ironiza.
Segundo especialista, decreto de estrutura da ANPD não confirma a nomeação de uma autoridade para aplicação das sanções previstas na Lei Geral de Proteção de Dados. Créditos: iStock
De acordo com o advogado, a resposta com um decreto publicado logo após a aprovação da lei comprova que a discussão já tinha sido concluída. Apesar de parecer um ponto positivo, o advogado lembra que o documento não traz garantias da criação efetiva de uma autoridade, nem mesmo com a aprovação da lei nº 14.010, sancionada em junho, a qual prorrogava a aplicação de punições sobre violação de dados para agosto de 2021. “Isso não quer dizer que a autoridade já esteja funcionando. Pode acontecer de tudo, até não haver nomeação de alguém para o cargo”, comenta.
Além disso, ele levanta aspectos questionáveis à constituição de um conselho diretamente ligado à Presidência da República. “Para que serve um conselho se o presidente é quem vai nomear – como ele [conselho] vai representar a sociedade?”, questiona Doneda.
Ainda na semana passada, o ministro-chefe da Secretaria-Geral da Presidência, Jorge Antônio de Oliveira Francisco, afirmou que autoridade ficará sob responsabilidade da Casa Civil, sendo que o ministro da pasta é quem indicará o seu conselho diretor, cuja nomeação será feita pelo presidente. Entretanto, a estruturação do quadro e as regras da agência só entrarão em vigor na data da publicação da nomeação do diretor-presidente da ANPD no Diário Oficial da União.
LGPD aprovada, mas como fica a adequação das empresas?
Para se adequarem às disposições da LGPD, as empresas tiveram um prazo de 24 meses. Apesar disso, em muitos casos, isso não ocorreu. “A maioria das empresas não utilizou da melhor forma a vacatio legis. Apenas nos últimos oito meses, foi possível notar que muitas empresas tinham iniciado um trabalho de adequação à LGPD. Entre elas, poucas conseguiram implementar o programa de privacidade e proteção de dados nesse meio tempo”, observa Bruno Santos, consultor em Data Privacy na Protiviti.
Para as empresas que ainda estão iniciando a jornada de adequação à LGPD, Santos destaca que o canal de atendimento aos titulares de dados deve ser o primeiro item de qualquer projeto de conformidade com lei. Além disso, o consultor cita outras quatro atitudes essenciais para as corporações começarem o seu plano de proteção de dados e privacidade:
- Procurar se adequar à gestão desse consentimento;
- Criar processos para que requisições sejam cumpridas;
- Dar transparência à questão das políticas de tratamento de dados;
- Revisitar os processos e o ciclo de vida dos dados pessoais na organização.