LGPD - Nota sobre a derrubada dos vetos presidenciais
Em 24/09 último, o Congresso Nacional derrubou os vetos presidenciais à Lei Geral de Proteção de Dados (LGPD) e restabeleceu as possibilidades de suspensão total ou parcial da própria atividade empresarial em operações que envolvam o tratamento de dados, dentre as penalidades que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).
Tais penalidades somente poderão ser aplicadas nos casos de reincidência no descumprimento da LGPD, que estabelece diretrizes para a coleta e o tratamento[1] de dados pessoais com a finalidade de proteger os direitos fundamentais de liberdade e de privacidade. A LGPD entrará em vigor no dia 15 de agosto de 2020.
A inclusão dessas sanções no rol de penalidades que podem ser aplicadas pelas autoridades é de grande relevância, pelo enorme impacto que sua aplicação pode causar nas empresas. Assim como a LGPD trará impactos diretos nos procedimentos internos das empresas, que terão um curto período para revisar seus processos internos de tratamento, compartilhamento e armazenamento de dados para se adaptarem às novas regras. As bases legais[2] que permitem o tratamento de dados pelas empresas são taxativas segundo a nova lei.
Com o curto prazo para efetivar as medidas que atendam à nova legislação, é importante que as empresas já nomeiem um Data Protection Officer (DPO)[3] e elaborem o mapeamento do fluxo interno de coleta de dados pessoais e de seus gaps, para atingirem logo um estado de conformidade e para que a implantação de medidas seja a mais eficiente possível.
A Lira Advogados está à disposição para prestar a assessoria jurídica e o suporte necessário para a implementação de estratégias que adequem sua empresa à LGPD.
[1] Conforme o Artigo 5º, X, tratamento é toda operação realizada com dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
[2] O Artigo 7º da LGPD apresenta as seguintes hipóteses taxativas de coleta de dados pessoais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória pelo controlador; (iii) força de lei para execução de políticas públicas; (iv) estudos por órgãos de pesquisa; (v) execução de contrato; (vi) exercício regular de direito em processo judicial, administrativo ou arbitral; (vii) proteção da vida ou da incolumidade física do titular ou de terceiros; (viii) para a tutela da saúde, em procedimento realizado por profissional da área da saúde ou por entidades sanitárias; (ix) quando necessário para atender aos interesses legítimos do controlador ou de terceiro e (x) para a proteção do crédito.
[3] Data Protection Officer (DPO) é título dado pelo Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês) ao profissional responsável pelo assunto na empresa.