Texto por Henrique Fabretti (advogado especialista em proteção de dados e serviços para DPO no Opice Blum Bruno Abrusio Vainzof Advogados); Caio Lima (sócio do escritório Opice Blum Bruno Abrusio Vainzof Advogados, especialista em Proteção de Dados e Direito Digital; e Tiago Furtado (advogado de proteção de dados do Opice Blum Bruno Abrusio Vainzof Advogados).
Como tema inaugural de nossa coluna mensal sobre Proteção de Dados e Privacidade aqui na The Hack, resolvemos tratar de assunto super atual e que gera muitas dúvidas de forma recorrente. Afinal de contas, a Lei Geral de Proteção de Dados (LGPD) foi ou não prorrogada? Se foi, o que isso significa para mim e para minha empresa?
Desde o final do ano passado, alguns Projetos de Lei foram apresentados para tentar, de alguma forma, prorrogar a entrada em vigor da LGPD. Porém, esses projetos caminharam timidamente no Congresso Nacional, sem indicativo de que o desfecho lhes seria favorável. No entanto, a pandemia do COVID-19 mudou radicalmente este cenário, especialmente porque os impactos generalizados em todo o país, paralisando pessoas e negócios, impôs a necessidade de resposta pelo nosso Poder Legislativo.
Neste sentido, o Senado Federal se adiantou à questão e, por meio do Projeto de Lei nº 1.179/2020, propôs a prorrogação da entrada em vigor da LGPD, juntamente com uma série de medidas, incluindo, por exemplo, a suspensão de ações de despejo de imóveis alugados e a possibilidade da realização de assembleias e reuniões por meio de videoconferência.
Em duas partes
Especificamente, o texto final do referido Projeto propõe a prorrogação desmembrada da LGPD em dois momentos: (i) de forma geral, a Lei entra em vigor no dia 1º de janeiro de 2021, o que significa que seus princípios, necessidade de base legal para tratar dados pessoais, direitos dos titulares de dados etc., estarão vigorando plenamente a partir desta data; e (ii) os artigos referentes aos poderes da Autoridade Nacional de Proteção de Dados (ANPD) de aplicar sanções serão postergados para 1º de agosto de 2021. Isso quer dizer, portanto, que a ANPD não poderá multar ou impor o bloqueio e eliminação de bancos de dados, por exemplo.
O destaque ao Projeto de Lei nº 1.179/2020 se justifica, já que foi a medida legislativa que ganhou maior tração e engajamento político, tanto que já foi aprovada em primeira rodada pelo Senado no último dia 03 de abril. Mas é importante ressaltar que ainda falta aprovação da Câmara dos Deputados, que pode aceitar o texto aprovado pelo Senado sem qualquer alteração ou pode propor seus próprios ajustes (cenário mais provável).
Assim caso a Câmara apresente alterações ao Projeto de Lei, o texto deverá passar por nova votação pelo Senado, para então, se aprovado, ser enviado à sanção Presidencial. Em resumo, LGPD ainda não foi prorrogada, apesar de existir grande chance de que isso ocorra nas próximas semanas.
Tá, o que muda?
Sendo esse o atual cenário, e supondo que a LGPD seja prorrogada nos termos propostos e aprovados pelo Senado, o que esse contexto muda para nós (como pessoas que têm seus dados pessoais utilizados pelas mais diversas organizações) e para as empresas?
Destacamos três grandes pontos:
- Mesmo que a possibilidade de aplicações de sanções às organizações que não estejam em conformidade seja prorrogada para agosto de 2021, essa limitação vale apenas para a ANPD. Ou seja, a partir de janeiro de 2021, a LGPD estará em pleno vigor, podendo ser aplicada por outros órgãos fiscalizadores (como a Secretaria Nacional do Consumidor (Senacon), Ministério Público, Instituto Brasileiro de Defesa do Consumidor (IDEC), Superintendência de Seguros Privados (SUSEP), Banco Central do Brasil (Bacen) etc.), que poderão embasar ações judiciais ou administrativas na parte da LGPD que entrará em vigor no primeiro dia do ano de 2021.
- Os direitos dos titulares também estarão vigorando no início do próximo ano, significando que seus clientes, empregados, demais terceiros, e até você, na condição de titular de dados, poderão requisitar, por exemplo, acesso aos dados pessoais tratados, eliminação destes dados ou mesmo a revogação de consentimento previamente concedido. Portanto, os canais para que os titulares exerçam esses direitos deve estar constituído e preparado para receber tais requisições.
- O Encarregado pela Proteção de Dados Pessoais (ou Data Protection Officer) deverá estar devidamente nomeado e, preferencialmente, atuando para manter o programa de conformidade efetivo.
Em outras palavras, com exceção das sanções aplicáveis pela ANPD, o Projeto de Lei poderá conceder apenas mais quatro meses para as organizações de adequarem (ou cerca de oito meses, contando a partir de agora).
Conclusão
É uma excelente oportunidade para aqueles que já estão com seus programas de privacidade implementados refinem e testem a efetividade destes. Já aqueles que aguardavam a dita prorrogação ganharam pequena sobrevida de 04 (quatro) meses adicionais e, por isso, precisam correr, pois, se conseguirem gerar alto nível de engajamento interno, ainda é possível alcançar bom nível de conformidade com a LGPD até o início do próximo ano.
- Leia mais notícias sobre Legislação.