O Brasil tem agora uma legislação de privacidade efetiva, inspirada no General Data Protection Regulation europeu (GDPR) e alinhada com os melhores padrões internacionais: em 18 de setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor na sua quase totalidade.

Os direitos dos titulares de dados, incluindo pedidos de acesso, retificação, bloqueio e anonimização de suas informações pessoais, podem ser exercidos desde já. Controladores e operadores devem tratar dados pessoais de acordo com uma das bases legais previstas na LGPD e cumprir com suas respectivas obrigações estabelecidas na lei, podendo ser responsabilizados no judiciário se violarem os seus deveres legais.

De outro lado, embora os artigos da LGPD relativos à Autoridade Nacional de Proteção de Dados (ANPD) já estejam em vigor desde o final de 2018 e a estrutura regimental da ANPD tenha sido definida pelo Decreto nº 10.474/2020, a ANPD ainda não iniciou suas atividades.

A ANPD terá um papel-chave no ecossistema de privacidade criado pela LGPD. Caberá a ela, entre outros, regulamentar temas ainda em aberto (como os critérios para a transferência internacional de dados pessoais), orientar titulares de dados, controladores e operadores, fiscalizar o cumprimento da lei, investigar incidentes de segurança e aplicar sanções administrativas em caso de descumprimento das normas de privacidade.

Tais sanções administrativas, que, no limite, podem chegar a multas de R$ 50 milhões por infração, ou mesmo à proibição do exercício de atividades envolvendo o tratamento de dados pessoais, poderão ser aplicadas a partir de agosto de 2021, quando a LGPD entrará em vigor na sua totalidade.

De qualquer forma, mesmo que a ANPD ainda não tenha sido efetivamente criada, e que controladores e operadores ainda não estejam sujeitos às sanções administrativas da LGPD, é importante considerar que as autoridades de defesa do consumidor vêm aplicando multas administrativas com base na legislação consumerista e que o Ministério Público já instaurou mais de 50 investigações via inquéritos civis e procedimentos administrativos entre 2017 e 2020 em situações envolvendo a violação de dados de consumidores. Recentemente, tanto o Ministério Público do Distrito Federal e dos Territórios (MPDFT) como a Secretaria Nacional do Consumidor (SENACON) vieram a público para manifestar o entendimento de que possuem competência concorrente com a ANPD em matéria de proteção de dados de consumidores.

Sendo assim, a conformidade com a LGPD é uma preocupação imediata, especialmente porque uma grande parte das empresas brasileiras ainda não concluiu, ou sequer iniciou, o processo de adequação à lei. Esse atraso é compreensível considerando que os esforços do setor produtivo estiveram majoritariamente voltados ao enfrentamento da pandemia de COVID-19 durante os últimos meses. Porém, no momento em que se discute a retomada da economia em diversas frentes, é necessário também priorizar a conformidade de atividades envolvendo dados pessoais e informações sensíveis com a LGPD.

Empresas B2C (business-to-consumer) ou que, de outra forma, desenvolvem negócios com algum grau de inteligência de dados são tipicamente aquelas com mais atividades a serem revisadas e ajustadas durante o processo de conformidade. Contudo, empresas B2B (business-to-business), ainda que não tratem dados pessoais como parte de suas atividades principais, também devem se preocupar com a conformidade. Virtualmente todas as empresas realizam atividades com dados pessoais, ainda que de forma limitada, como, por exemplo, o manejo de dados pessoais de empregados, o controle de acesso de visitantes ou o monitoramento de câmeras de segurança. Todas essas atividades devem estar de acordo com a LGPD.

Outras providências urgentes envolvem a nomeação do encarregado pelo tratamento de dados pessoais (que poderá ser pessoa física ou pessoa jurídica), a revisão de documentos, incluindo políticas de privacidade, avisos de privacidade e contratos com clientes e fornecedores, a gestão daquelas operações de tratamento de dados pessoais baseadas no consentimento do titular dos dados (visto que o consentimento poderá ser revogado a qualquer tempo pelo titular, caso em que o tratamento deverá ser imediatamente interrompido), a definição do papel que será assumido pela empresa em suas atividades de tratamento de dados pessoais (a qualificação como controlador ou operador gera obrigações distintas), bem como a criação de procedimentos de resposta a incidentes de segurança e mecanismos que permitam o atendimento tempestivo e gratuito a pedidos formulados por titulares de dados.

Criar uma governança de privacidade e administrá-la envolve custos e esforços significativos para as empresas. Um investimento que se justifica, em parte, pela mitigação do risco de responsabilização pelo descumprimento da lei, mas que também agregará valor e criará vantagens competitivas para aqueles que forem reconhecidos por consumidores e parceiros como aderentes às normas de privacidade.

Vivemos em uma economia conectada e temos o desafio permanente de compatibilizar a proteção dos dados pessoais com o fluxo livre de informações, algo essencial ao funcionamento de redes sociais e aplicativos que fazem parte de nossa rotina atual, mas também fundamental para o desenvolvimento de novas tecnologias como a Internet das Coisas (Internet of Things). Aqueles que seguirem os padrões do GDPR e, a partir de agora, da LGPD, terão mais chances de sucesso.