A discussão sobre o início da vigência da lei de proteção de dados brasileira está provocando confusão entre os empreendedores. Afinal, a LGPD entra em vigor em 2020? O colaborador do Capterra Pedro Fonseca explica o imbróglio com a legislação e responde às principais questões dos empresários neste momento.

lgpd entra em vigor

No final do ano passado, estive aqui no blog do Capterra compartilhando informações essenciais sobre a Lei Geral de Proteção de Dados (LGPD). Naquele artigo, falamos sobre as bases legais (consentimento, legítimo interesse e outros), sobre os princípios que regem a proteção de dados no Brasil e também sobre a Autoridade Nacional de Proteção de Dados e a necessidade de cada “agente de tratamento” nomear um encarregado (o DPO, data protection officer na sigla em inglês). 

A lei entraria em vigor em agosto de 2020, e muitas empresas –tanto pequenas como grandes– ainda não tinham clareza sobre como se adequar para cumprir a legislação e mitigar riscos. 

De lá para cá, o que aconteceu? 

Alguns agentes de tratamento (principalmente os grandes) estão prontos para cumprir a lei; para outros, a LGPD ainda está envolta em um certo mistério, e pouco foi feito para se adequar às novas regras.

Pesquisa divulgada pelo Capterra em março mostrou que um quarto das PMEs desconhecia a nova lei de proteção de dados e que 66% teria de investir em tecnologia, como ferramentas de TI, para se adaptar à lei .

Volto aqui para contar que algumas coisas mudaram também no plano jurídico. Essas mudanças podem impactar o projeto de adequação do seu negócio. Vamos a elas! 

A LGPD entra em vigor agora ou não?

Por conta de um imbróglio legislativo, ainda não se sabe se a LGPD entra em vigor em 14 de agosto de 2020, como previsto inicialmente, ou se será postergada para maio de 2021. 

O que já está definido, porém, é que as penalidades previstas na lei (advertência, multas, bloqueios, etc.) passam a valer apenas em agosto de 2021. 

Se as penalidades estão suspensas por mais um ano, preciso me preocupar agora?

O fato de as penalidades só entrarem em vigor no próximo ano e da Autoridade Nacional de Proteção de Dados (ANPD) ainda não ter sido criada enfraquecem o “enforcement” (aplicação) da lei. 

No entanto, caso a LGPD passe a valer ainda esse ano (mesmo sem as penalidades e sem autoridade nacional), o descumprimento da lei por agentes de tratamento continua tendo consequências jurídicas. Fique atento, pois: 

  • O STF reconheceu que a proteção de dados pessoais é um direito fundamental, o que torna ainda mais sérias potenciais violações à lei. Esse precedente judicial pode ser invocado mesmo antes da entrada em vigor da LGPD 
  • Ao lado das penalidades (por ora, suspensas), a LGPD prevê regras de  “responsabilidade civil”: ou seja, as empresas que descumprirem a lei e causarem danos podem ser obrigadas judicialmente a indenizar as vítimas. Como a lei prevê que esses danos podem ser coletivos (ou seja, sofridos pela sociedade ou por um grupo de pessoas, não apenas por indivíduos), essas indenizações podem atingir valores milionários 
  • Embora a ANPD não tenha sido criada, os Procons, o Ministério Público e o próprio Poder Judiciário podem (e provavelmente irão) tomar medidas para assegurar o cumprimento da lei 

Ainda não fiz nada. E agora?

Como expliquei em meu primeiro textoaqui no blog, o primeiro passo é identificar todas as operações de tratamento de dados pessoais que a sua empresa realiza (seja ela uma PME ou uma grande empresa). A lei exige que a cada operação de tratamento deve corresponder uma base legal (por exemplo, consentimento, legítimo interesse ou cumprimento de contrato). 

Também é preciso assegurar que as operações de tratamento estão de acordo com os princípios que a lei estabelece: finalidade, adequação, livre acesso, transparência, segurança, prevenção ou não-discriminação. Falamos mais sobre isso no artigo anterior. A simples leitura da LGPD ajuda a entender o que cada um desses princípios quer dizer; tente! 

Enquanto a lei não entrar em vigor e a ANPD não for criada, as chances de um “enforcement ativo” (ou seja, de alguém bater na porta de uma PME exigindo que ela comprove que está cumprindo a lei) são muito baixas. A atenção ao tema, porém, tem que continuar, pois caso o descumprimento resulte em incidentes (por exemplo, vazamentos), o agente de tratamento pode ser responsabilizado judicialmente. 

As medidas adotadas para cumprir com a lei –especialmente a identificação das bases legais e a documentação das políticas de privacidade e segurança– são provas muito importantes numa eventual discussão judicial sobre incidentes de privacidade. 

Não dá para relaxar e deixar tudo para o ano que vem. É preciso continuar caminhando para se adequar à LGPD, ainda que ela só passe a valer “de verdade” em 2021. 

foto Pedro Fonseca

Pedro Leal Fonseca é membro e co-fundador do  Coletivo.adv.br, coletivo de advogados de negócio com sede em São Paulo. Presta consultoria jurídica a empresas de tecnologia (cloud, software, fintechs, plataformas de e-commerce e outras). Antes, liderou o departamento jurídico da Amazon no Brasil (2014-2018) e atuou em grandes escritórios de advocacia nas áreas empresarial, de propriedade intelectual e de fusões e aquisições.

Busca ferramentas de TI? Confira o catálogo do Capterra!