Por Rubens Leite
Recentemente, em 27 de janeiro de 2022, a ANPD – Autoridade Nacional de Proteção de Dados, órgão responsável por editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, publicou a resolução nº 2 de 2022, que busca flexibilizar a implantação da LGPD em pequenas e médias empresas.
As regras valem para agentes de tratamento de pequeno porte, como pequenas empresas, startups, associações sem fins lucrativos e organizações religiosas, flexibilizando, mas não excluindo a implantação da governança em privacidade, ou como alguns denominam, o compliance em LGPD.
Como exceção, a resolução exclui dos beneficiários do tratamento especial, às empresas que tratam dados pessoais em larga escala, ou cujo tratamento possa afetar os interesses dos titulares.
Os principais itens de flexibilização foi: (i) o registro das atividades de tratamento, que passará a ter um modelo a ser criado pela própria ANPD; (ii) a comunicação dos incidentes de segurança, de forma simplificada; (iii) o afastamento da obrigação das empresas terem um DPO (encarregado de dados); e (iv) prazos diferenciados para responder à reclamações de titulares e também nas relações com a ANPD.
A lei ressalta item já destacado na LGPD, afirmando que o programa de governança deve levar em consideração a estrutura, a escala e o volume das operações das empresas, mas mantendo a necessidade da criação de um sistema que protega a privacidade e os dados pessoais dos indivíduos.
De olho nesse cenário e pensando em 2022, a sugestão é que as empresas acelerem a implantação do sistema de governança em privacidade, a fim de possam afastar qualquer possibilidade de aplicação de penalidades legais, que vão desde advertência, até multas de 2% de faturamento, isso porque não se sabe ao certo como a ANPD vai aplicar tais penalidades e o Judiciário ainda não tem uma jurisprudência uniformizada sobre o tema.
As empresas têm aproveitado essa oportunidade para otimizar processos internos e gozar dos benefícios de um programa de conformidade, culminando numa mudança de cultura e um foco claro em resultados, marcado por esse sistema de gestão de processos.
É importante entender que a conformidade com a LGPD traz uma competitividade muito grande para as empresas, além de trazer o conceito da própria exigência legal a necessidade de um sistema de Governança, que nada mais é que um conjunto de regras e procedimentos que visam criar um sistema de proteção para a lei. Além disso, outra expectativa para 2022 é a análise de como as pessoas físicas irão amadurecer em relação a esses direitos. Será um ano de adaptação de todas as partes, mas principalmente das empresas que correm os riscos de sofrer penalidades.
A LGPD para pessoas físicas
As pessoas físicas titulares dos dados devem ficar atentas às empresas que têm acesso aos seus dados e o que elas fazem com eles, já que a lei exige que isso seja explícito de forma bem clara. Os titulares também podem indagar as empresas acerca do uso, destinação e finalidade de todos os dados que constam em poder da empresa. A pessoa física titular desses dados, seja funcionário da empresa, cliente, fornecedor, tem o direito de saber como eles serão usados e a empresa precisa ter um canal de comunicação para sanar esses questionamentos.
É importante entender que os direitos dos consumidores são a apresentação de forma clara, expressa e inequívoca de quais são as finalidades de uso daquele dado, qual será o fluxo de dados dentro da empresa. Ou seja, o consumidor tem o direito de receber a informação do que a empresa irá fazer com as informações dele. Então, este é um dos principais direitos do consumidor em relação à LGPD, que é o direito de dar ou não consentimento para uso desses dados, revogar o consentimento, atualizar as suas informações e o direito de ter acesso a esse fluxo de dados. Além disso, o consumidor que tiver algum dano decorrente de um incidente com os dados pessoais, pode recorrer aos órgãos competentes para que possa requerer a devida compensação.
A LGPD para as empresas
Em relação às empresas, é necessário ressaltar a latente responsabilidade pelo uso dos dados. Todo o fluxo de dados dentro da empresa deve ser mapeado, ou seja, deve-se entender qual o caminho que os dados pessoais que a empresa recebe percorre dentro da empresa. É necessário que haja essa rastreabilidade e mapeamento, mecanismos de controle e toda uma política de gestão de segurança dessas informações. O conjunto de proteção e regras chamamos de Compliance de Proteção de Dados, ou Governança em Privacidade como a lei se refere.
O primeiro semestre de 2022 é o momento para que as empresas revisem a implementação de um projeto de proteção de dados. Afinal, a implantação vai sempre olhar o tamanho da empresa, os dados que ela utiliza e, cada sistema de compliance, terá a cara da determinada empresa – ou seja, pode haver sistemas de LGPD desde o mais simples, em empresas menores que tem uma quantidade menor de procedimentos internos, até procedimentos mais complexos que utilizam uma série de ferramentas de controles para empresas maiores. O essencial é que as empresas tenham um sistema de proteção.
*Rubens Leite é advogado e sócio-gestor da RGL Advogados e especialista em LGPD