<p>No dia 12 de junho, o presidente Jair Bolsonaro aprovou parcialmente o Projeto de Lei 1.179,e manteve artigo 25 do PL – que trata o adiamento das sanções decorrentes do descumprimento da LGPD para 1º de agosto de 2021. O Congresso Nacional, porém, ainda precisa apreciar a Medida Provisória nº 959/2020. Caso a MP seja rejeitada – ou venha a caducar, que é quando a lei não é votada em 120 dias, contados a partir de 29 de abril de 2020 -, a LGPD passa a vigorar em 14 de agosto deste ano. Mas, se a Medida Provisória for aprovada, então entrará em vigor em maio de 2021 , conforme determina a Lei nº 1.179/2020.</p>
<p>É sabido de todos os embates entre o Executivo e Legislativo e da existência de um acerto entre os parlamentares para que a MP 959/2020 venha a caducar. Com isso, a LGPD entraria em vigor em 14 de Agosto de 2020 e as suas sanções via ANPD (Autoridade Nacional de Proteção de Dados) somente em 1º de agosto de 2021.</p>
<p>As empresas podem postergar sua implementação para 2021? De maneira alguma, sobre o forte risco de expor a companhia a inúmeros processos jurídicos. Explico aqui os motivos para o não adiamento da implantação da LGPD nas empresas:</p>
<p>• Embora a ANPD não possa fiscalizar as empresas, nada impede que outros órgãos façam tais como Procon ou Ministério Público Estadual e Federal Um titular de dados que entenda que seu direito esteja sendo agredido pode entrar com um processo na esfera cível.</p>
<p>• O STF já considera em seus julgamentos a existência e realidade da LGPD- no dia 7/05 o Plenário do Supremo Tribunal Federal referendou a decisão liminar para suspender a Medida Provisória 954, que libera o compartilhamento de dados pessoais por empresas de telefonia com o Instituto Brasileiro de Geografia e Estatística (IBGE). A relatora, ministra Rosa Weber utilizou em seu voto a LGPD como base de sua decisão e foi acompanhada por seus pares.</p>
<p>Resumidamente, a partir de agosto de 2020 as empresas poderão sofrer vários processos e fiscalizações por não cumprirem com as normas da LGPD, o que em termos financeiros e de imagem são muito mais gravosos que as sanções da ANPD, que ficarão para agosto de 2021.</p>
<p><strong>O que fazer então:</strong></p>
<p>Às empresas que não iniciaram seus preparativos e têm agora pouco mais de 3 meses para adequação, a sugestão é de que trabalhem com se adequarem nós sugerimos que sejam feitas 2 etapas:</p>
<p>• Emergenciais para atendimento da LGPD para agosto de 2020<br />• Necessárias para atendimento completo a LGPD até suas sanções em 2021</p>
<p>Nas emergenciais somente identifico:<br />- Assessment + Implementação de processos manuais para atender os direitos do Titular e atendimento de solicitações do Regulador</p>
<p><strong>Atendimento completo</strong><br /><br />- Assessment + Proposta para atender de modo incremental a implementação das jornadas para atender os direitos do Titular e atendimento de solicitações do Regulador, de acordo ao cenário identificado no Assessment e com a maior eficiência possível e implementar entre outros:</p>
<p><strong>1.Criação de Política de Privacidade</strong></p>
<p><strong>2. Nomeação e publicitação do DPO</strong></p>
<p><strong>3. Realização de um Assessmen</strong>t para entender quais processos tratam dados pessoais e quais estão mais expostos para eventuais demandas judiciais.</p>
<p><strong>4. Criar o mapeamento de dados</strong> e inventários para que se possa identificar onde estão os dados pessoais em sua empresa e como podem, mediante a solicitação do titular de dados, prestarem acessos aos seus direitos.</p>
<p><strong>5. Implantar um portal de direitos dos titulares</strong>, tais como:</p>
<p>• Confirmação da existência dos dados da pessoa física na instituição</p>
<p>• Relatório detalhado dos dados da pessoa física na instituição</p>
<p>• Coleta e gestão das autorizações para uso dos dados (Consentimento)</p>
<p>• Eliminação dos dados identificáveis</p>
<p>• Não autorização para tratamentos de legítimo interesse</p>
<p>• Portabilidade completa de dados</p>
<p>• Atualização dos dados</p>
<p>• Pedido de revisão das decisões tomadas por processos automatizados</p>
<p><strong>6. Treinamento</strong></p>
<p><strong>7. Políticas de Privacidade detalhadas</strong></p>
<p><strong>8. Mapeamento dos Processos e linhagem de dados</strong></p>
<p><strong>9. Análise de impacto de Privacidade ( DPIA)</strong></p>
<p><strong>10. Tratamento de Dados para segurança e privacidade</strong></p>
<p>§ Controles da ISO 27001</p>
<p>§ Segurança de Rede, acesso, aplicação, dados</p>
<p>§ PET de Privacidade</p>
<p>§ Engenharia de Privacidade</p>
<p>§ Revisão de Decisões Automatizadas</p>
<p>§ Mascaramento</p>
<p>§ Criptografia</p>
<p>§ Monitoramento</p>
<p>§ Anonimização</p>
<p>§ Portabilidade</p>
<p><strong>11. Processo de Gestão de Privacidade</strong></p>
<p>§ Manter Estrutura DPO</p>
<p>§ Manter Políticas de Privacidade</p>
<p>§ Manter Catálogos de Dados</p>
<p>§ Realizar descoberta de Impactos ( DPIA)</p>
<p>§ Operar Privacy by Design</p>
<p>§ Gerenciar riscos de Terceiros</p>
<p>§ Certificar Privacy by Design</p>
<p>§ Gerenciar Violações de Privacidade</p>
<p>§ Análise e Respostas as Solicitações</p>
<p>§ Monitorar Privacidade</p>
<p>§ Manter Treinamentos</p>
<p>§ Manter Comunicação</p>
<p>§ Manter Suporte aos Processos</p>
<p><strong>12. Avaliação de Impacto de Proteção de Dados com o DPIA</strong></p>
<p>§ Desenvolvimento com Proteção de Dados por Design e por Padrão</p>
<p>§ Etapas da Engenharia de Privacidade</p>
<p>§ Certificação do Produto para Privacidade</p>
<p>§ Auditoria de Privacidade nos Processos</p>
<p>Compreendo que entender todos os trâmites da LGPD neste momento podem ser complicados, mas ter informações precisas são extremamente necessárias para acelerar as transformações digitais das companhias e a a adequação às demandas regulatórias da lei.</p>
<p><em>(*) DPO (Data Protection Officer) e especialista em segurança da informação da GFT Brasil.</em></p>
