LGPD: SANÇÕES INICIARAM NESTE MÊS, MAS POUCAS ORGANIZAÇÕES SE MOSTRAM PREPARADAS PARA ADEQUAÇÃO
image
24 de agosto de 2021

Sem comentários

FONTE: IT 4 CIO

LGPD: SANÇÕES INICIARAM NESTE MÊS, MAS POUCAS ORGANIZAÇÕES SE MOSTRAM PREPARADAS PARA ADEQUAÇÃO

Notícias • 24/08/2021

Professor da Faculdade de Direito da USP, Juliano Maranhão, explica as vigências e como as equipes podem se engajar para estar em conformidade

A Lei Geral de Proteção de Dados foi aprovada em 2018 e entrou em vigor dois anos depois, em setembro de 2020.  Apesar disso, muitas organizações não estão conseguindo se adequar às exigências da lei. Uma pesquisa feita pela RD Station indica que somente 15% das empresas se mostram prontas ou próximas da reta final, mesmo com a vigência das sanções desde 1º de agosto.

Antes disso, o país já havia dado pequenos passos em direção a um debate em torno do melhor uso das informações, com a vigência da Lei 12.965, do Marco Civil da Internet, em abril de 2014. Esta normativa, contudo, ainda possuia atuação limitada quanto à proteção dos dados pessoais.

O professor da Faculdade de Direito da USP, Diretor do Instituto LGPD e sócio do Sampaio Ferraz Advogados, Juliano Maranhão, explica que a LGPD amplificou o tratamento dos dados pessoais, tanto para o digital quanto para o analógico. Outra mudança está no detalhamento dos procedimentos necessários, com a adoção de práticas mínimas de governança para o controle do fluxo das informações.

O portal 4Network | IT4CIO conversou com Juliano para entender as sanções impostas e o processo de conformidade nas organizações, bem como a importância do engajamento das equipes.

4Network | IT4CIO: As sanções administrativas iniciaram no início deste mês. Como a Autoridade Nacional de Proteção de Dados (ANPD) estrutura os parâmetros? De que forma o órgão pretende adotar o método de “fiscalização responsiva” para evitar o modelo punitivista, como referido pela própria ANPD?  

Juliano Maranhão: Neste último dia 15 de julho, a ANPD realizou uma Audiência Pública sobre sua proposta de fiscalização, tendo também submetido à público a minuta de sua resolução sobre fiscalização e sanções. A minuta inclui diversos aspectos, tanto de procedimento quanto relativos efetivamente às sanções que a Autoridade poderá aplicar, sem que, contudo, tenha adentrado na dosimetria de multas, ou apresentado um claro racional de como decidirá pela aplicação de determinada sanção frente às alternativas de que dispõe. A minuta de resolução, contudo, indica a classificação dos agentes de tratamento entre quatro faixas, e dispõe que serão sancionados aqueles agentes de tratamento que estiverem por dois ciclos fiscalizatórios consecutivos na faixa 4.

É incerto como exatamente esta classificação será feita, mas a LGPD e a Agenda de Ciclos de Monitoramento indicam alguns elementos que podem ser considerados durante as fiscalizações, como a interface das empresas com os titulares de dados – se direta ou indireta, os tipos de dados tratados, o volume desses dados, e outros fatores.  Um deles, que inclusive aparenta ser primordial, ao menos nesta fase inicial da vigência das sanções, são as notificações que a ANPD passa a receber de titulares de dados a respeito de violações de seus direitos. Dado que a autoridade ainda está em processo de estruturação, alguns critérios de priorização no enforcement terão que ser definidos. Importante notar, porém, que a minuta se afasta de um modelo puramente punitivista, adotando atividades orientativas e preventivas.

4Network | IT4CIO: Alguns órgãos públicos, como o Senacon e os Procons, já invocavam a LGPD em representações judiciais. Com o início das sanções pela ANPD, o que muda? Qual é o seu papel e de outros órgãos para o cumprimento da Lei?

JM: A ANPD é o órgão que irá regulamentar a LGPD, além de fiscalizar seu cumprimento. Uma das mudanças que temos é o fato de que a LGPD explicita como possíveis sanções impostas pela ANPD não apenas as multas – que com toda razão tem bastante destaque –, mas também a possibilidade de publicação de infrações, suspensão de tratamento de dados, e outras medidas sancionatórias que podem ter impacto reputacional ou nas atividades da empresa ainda mais graves.

Com a atuação da ANPD, completam-se as esferas de proteção. A Senacon e os Procons investigam e reprimem condutas abusivas com respeito a tratamento de dados especificamente em relações de consumo. Já a ANPD tem um escopo de atuação bem mais amplo.

Além disso, a ANPD e o Senacon assinaram recentemente um acordo de cooperação técnica na intersecção de suas competências. Este, inclusive, não é exemplo isolado de ação conjunta. A ANPD também manifestou-se conjuntamente com o Senacon, o MPF e o Cade em favor do adiamento da nova política de privacidade do WhatsApp, incluindo declarações no sentido de que os usuários não deveriam ser obrigados a concordar com a nova política. Estas cooperações têm grande potencial de somar a expertise de diferentes órgãos para nortear questões tão complexas, e assegurar que esses cenários possam ser observados não apenas da perspectiva da proteção de dados per se, mas incluindo uma visão multidisciplinar. 

4Network | IT4CIO: Especialistas ressaltam que a LGPD insere o Brasil em um patamar internacional quanto à proteção de dados pessoais. Você acredita que a lei geral conseguiu suprir as demandas levantadas para o contexto brasileiro? Ainda considera que alguns aspectos precisam ser avaliados e demandam regulamentação?

JM: A LGPD com toda certeza nos coloca num patamar mais destacado internacionalmente. Esse é inclusive um movimento esperado de todos os países desde que a Europa aprovou a sua regulação de proteção de dados, o GDPR. Isto porque o GDPR, como a maioria das legislações de proteção de dados, tem uma projeção extra territorial. Isso quer dizer que não importa se quem está utilizando os dados pessoais está fisicamente na Europa, pois há outras hipóteses nas quais aquela atividade pode se enquadrar. Por exemplo, se um e-commerce brasileiro direcionar propagandas para países europeus, poderá ser enquadrado nas obrigações da LGPD. Para evitar disparidades entre os países, o que poderia dificultar a troca de informações pessoais através de fronteiras nacionais, existe esse movimento de aprovação de leis de proteção de dados, e o Brasil não fugiu à regra. 

Contudo, mesmo que a LGPD já esteja vigente, é claro que ainda precisaremos de especificações em diversos aspectos, como por exemplo normas setoriais, ou mesmo garantir exceções a determinadas obrigações para aqueles que façam tratamentos de dados pessoais em pequena escala.  Será trabalho da ANPD em sua atuação abordar estas diferentes nuances que não foram incluídas no texto da lei.

4Network | IT4CIO: Muitas empresas ainda se mostram despreparadas para cumprir as vigências das sanções. Um dos principais fatores está na cultura organizacional. Como as instituições podem engajar suas equipes para estarem em conformidade?

JM: O engajamento necessariamente passa pela conscientização das equipes. Antes de buscar ação, é preciso explicar para os envolvidos a importância da adoção das melhores práticas de governança e os riscos a que a empresa está exposta, não só com a nova legislação, mas também com o surgimento de uma cultura de proteção de dados no país.

Uma equipe que atua num projeto de adequação sem entender o real propósito por trás pode até realizar o projeto, mas o processo será mais moroso e estático. Para que seja efetivamente incorporado na cultura organizacional ele deve ser dinâmico e constantemente revisitado. Por isso, manter a LGPD em pauta com os funcionários é importante para garantir que todos possam conhecer mais das responsabilidades que a lei traz, e como se adaptar a elas. A LGPD não veio para cercear as atividades que realizamos, mas para dar um norte às atividades de tratamento, e garantir maior clareza perante os titulares de dados pessoais.

Assim, ações prévias de divulgação, como seminários e eventos são importantes para engajamento prévio. Incluem-se aqui comunicações periódicas de notícias, avisos enviados pela liderança da empresa, e outros meios de colocar os funcionários em contato com a realidade da proteção de dados. Isto pode auxiliar na criação de uma consciência coletiva na empresa sobre a importância da adequação à LGPD. Outra forma de gerar engajamento é por meio de treinamentos que exponham aos funcionários dilemas da aplicação da lei em suas atividades diárias, motivando-os a buscar as mudanças necessárias. Dado que muitos trabalhos ainda estão sendo realizados remotamente, é importante ter uma perspectiva criativa para impactar a todos, mesmo quea distância.

Uma vez iniciado o programa de adequação, há que se manter as atividades de treinamento no curso de seu desenvolvimento, divulgando eventos, cartilhas e destaques sobre o tema nas revistas e comunicações institucionais.

https://it4cio.com/materias/view/codigomateria/6830

Compartilhe: