Por Marina Nicolosi
Pendente apenas da sanção ou veto do Poder Executivo, o Senado afastou o art. 4º da Medida Provisória 959/2020 (“MP”) que prorrogava a vigência da LGPD para maio/2021. Com isso, a referida lei – que formalmente deveria vigorar a partir de 14/08/20 – agora aguarda a decisão presidencial quanto aos demais artigos da MP, o que deve ocorrer nas próximas duas semanas.
Ainda que outros pontos ainda não estejam resolvidos (como a alocação certa da própria Autoridade Nacional de Proteção de Dados – ANPD na estrutura do governo e a aplicação das penalidades da LGPD somente a partir de agosto/2021), é fato que o atendimento às exigências da LGPD pelas entidades públicas e privadas por onde circulam dados pessoais protegidos pela lei é imprescindível.
O posicionamento do Senado afastando nova prorrogação fortaleceu outros diplomas legais brasileiros que asseguram o correto tratamento dessas informações, tais quais o Código de Defesa do Consumidor, o Marco Civil da Internet e a própria Constituição (além do GPDR em alguns casos), que já vinham sendo aplicados com rigor por autoridades consumeristas e, principalmente, pelo Ministério Público, que conta com áreas específicas dedicadas ao tema, como a Unidade Especial de Proteção de Dados e Inteligência Artificial, no caso do MP do Distrito Federal. Significa dizer que, com a implementação da LGPD, qualquer cidadão poderá exercer seus direitos de titular e demandar explicações e providências quanto ao uso de seus dados pessoais (inclusive coletivamente), sob pena dessas entidades enfrentarem a Justiça, ainda que sujeitas a penalidades de outras legislações.
Medidas básicas são imprescindíveis no momento, mesmo que parte da LGPD continue sob discussão, sendo prioritário: (i) o saneamento da base de dados; (ii) a implementação de políticas adequadas ao negócio, inclusive às atividades internas, como as que envolvem recursos humanos, tecnologia e suprimentos, especialmente com a previsão de cláusulas contratuais ajustadas para cada realidade; (iii) a disponibilização de canais de contato com os eventuais titulares; (iv) a delimitação de responsável (“encarregado(a)”) pelas demandas que surgirem, que poderá ser, inclusive, terceirizado; (v) a capacitação de colaboradores, com foco no cumprimento da lei; e, por fim, (vi) a estruturação de tecnologias robustas que mitiguem os riscos de vazamento de dados.
