Leonardo Carissimi, diretor de Soluções de Segurança da Unisys para América Latina. Foto: Divulgação.

Por Leonardo Carissimi*
Imagino que você já ouviu falar da Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (LGPD). Mas, você já ouviu falar da Medida Provisória nº 869 (MP 869) de 28 de dezembro de 2018? 

Pois bem, no apagar das luzes do seu governo, o agora ex-presidente Michel Temer publicou esta Medida Provisória que promove algumas alterações na LGPD, incluindo a criação da Agência Nacional de Proteção de Dados (ANPD) e a mudança da data de entrada em vigor da Lei.

Recapitulando: em agosto de 2018, quando a LGPD foi sancionada, os artigos que estabeleciam a ANPD foram vetados; assim, na prática, a LGPD fazia referência à agência, mesmo sem ela ter sido criada. 

Com a MP 869, Temer mudou as regras para a criação da ANPD, e a criou como órgão vinculado diretamente à Presidência da República, e não mais ao Ministério da Justiça. Além disso, ela foi criada sem qualquer aumento de despesas públicas. O governo vai reorganizar cargos que já existem para compor a nova pasta.

A ANPD é um elemento-chave na LGPD. Sua função será a de fiscalizar empresas e órgãos públicos ou privados para garantir que todos estão obedecendo à Lei Geral de Proteção de Dados. Isto inclui garantir punições para casos de vazamento de dados pessoais na internet e mal uso de informações de usuários brasileiros. Os artigos da LGPD que estabelecem a ANPD entraram em vigor na data da publicação da MP 869.

Nestes últimos meses, em conversas com clientes e colegas de mercado, podia-se perceber algum ceticismo com a LGPD. A famosa pergunta 'Mas... será que a lei vai "pegar"?' podia ser ouvida em diferentes situações. Um dos argumentos dos céticos era a fato da ANPD não ter sido criada, e claro, lei que não tem fiscalização sofre um risco maior de não ser cumprida. 

Um contraponto que adotávamos é que a LGPD é maior que a ANPD. Mesmo sem a agência fiscalizadora, que tem o papel de aplicar sanções, as organizações que não cumprem a lei estão sujeitas à processos de responsabilização. Assim como em outros países, uma organização que falha em adotar medidas de segurança adequadas pode ser responsabilizada por ter sido negligente. E pagar multas por isso.

Aliás, há poucas semanas, viu-se este conceito sendo aplicado na prática: um banco digital brasileiro fez um acordo equivalente a multa de R$ 1,5 milhão com o Ministério Público por ter perdido dados de clientes em um incidente que veio à tona em maio de 2018.

Ou seja, a LGPD já nasceu forte. Mesmo antes de entrar em vigor, podemos perceber seu espírito sendo aplicado. O respeito à proteção dos dados pessoais não é moda; é um fenômeno global, e veio para ficar. Acostume-se com esta ideia e prepare-se para novos tempos. Com a criação da ANPD o processo tomará impulso.

Por falar em vigência, outra mudança importante foi a extensão de 10 meses para o prazo de adequação. Agora a LGPD entra em vigor em 28 de dezembro de 2020, e não mais em fevereiro daquele ano. É uma ótima notícia para todas as organizações que têm que preparar-se para atendê-la. O prazo anterior era de fato agressivo, trazendo inúmeros desafios para todas as organizações. 

Em especial para as públicas, que têm processos mais complexos de contratação. E para algumas indústrias que têm eventos sazonais importantes como freeze de final de ano e férias de verão (quase todas indústrias); freeze de datas importantes como Páscoa (indústria de chocolates) ou Dia das Mães (Varejo); etc. Ou seja, excluindo-se estes meses de freeze, na realidade mesmo com a ampliação de prazo, não se tem muitos meses para trabalhar na adequação. O foco deve ser mantido, ou até mesmo reforçado!

Finalmente, observam-se na MP 869 outros ajustes no texto da LGPD, como a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, para propor estratégias relativas ao tema; possibilidade de troca de informações de saúde para prestadores de serviços de saúde complementar; entre outros.

Enfim, a LGPD revigorada leva as empresas a assumirem um novo conjunto de riscos. A recomendação mais básica é de que sejam avaliados os riscos inerentes a violação das obrigações de proteção de dados pessoais. Ao menos, saiba que riscos o negócio está correndo. 

Para isso, realize uma avaliação de quais dados pessoais são tratados atualmente, porque são necessários, quais controles de segurança existem para protegê-los, qual o impacto no negócio se o pior acontecer com estes dados. E a partir deste conhecimento do nível de risco, tome as ações pertinentes ao negócio – aceitá-los, mitigá-los ou transferi-los. O importante é tomar decisões e ações com dados objetivos em mãos!

*Leonardo Carissimi é diretor de Soluções de Segurança da Unisys para América Latina.