As penalidades instituídas pela Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) entram em vigência em 01/08/2021.  A Lei é de 2018 e houve dois anos de prazo para que as pessoas jurídicas e os profissionais liberais promovessem a adequação das suas operações de tratamento de dados pessoais à Lei antes da entrada em vigor, em 18/09/2020.

Pesquisas revelam que muitas organizações ainda não estão com conformidade com a Lei, o que pode ensejar uma procura generalizada por soluções rápidas, e a baixo custo, e que podem sair muito mais caro.

Deve-se compreender que a LGPD não é uma “lei do Brasil”, ela faz parte de um processo de reação jurídico-regulatória à nova economia mundial. O avanço tecnológico dos últimos anos transformou os “dados” no maior ativo econômico-empresarial, ao revolucionar a capacidade de armazenamento e processamento de dados, que se faz em volume e velocidade antes inimagináveis. A adoção de legislação para proteção de dados pessoais é uma realidade em todo o mundo, sendo mais de 100 países a adotar um modelo parecido com o Regulamento europeu, como é o caso do Brasil.

Ter um nível elevado de proteção dos dados pessoais passa a ser um requisito nas relações internacionais e a inexistência de um ambiente jurídico-legislativo seguro para os dados pessoais dificulta ou mesmo inviabiliza negociações no exterior.

A adequação à LGPD portanto é uma realidade que se impõe face às mudanças que já ocorreram na sociedade e configura uma vantagem competitiva no mercado, ante ao efeito reputacional positivo para a empresa e também ao efeito cascata – as empresas  de grande e médio porte em conformidade legal optam por contratar pequenas e microempresas ou profissionais que já estejam também adequados, uma vez que a LGPD imputa a corresponsabilidade do contratante por eventos de violação de dados ocorridos no âmbito do contratado.

É importante que as empresas não confiem em soluções rápidas e milagrosas. Nestes momentos, é comum surgirem propostas de adequação em 48 ou 72 horas, ou uma semana, mas uma adequação à LGPD não é factível num tão curto espaço de tempo. A adequação é um processo de várias etapas, que envolve conscientização dos colaboradores e estabelecimento de boas práticas de governança de dados, mapeamento dos dados pessoais e do seu fluxo, análise, diagnóstico, propostas de soluções, desenvolvimento das soluções técnicas e jurídicas aprovadas e sua implementação e monitoramento. Dentre as soluções estão a alteração dos processos internos de fluxo e tratamento dos dados pessoais, instituição de um plano de resposta a incidentes de segurança com os dados, instituição das medidas técnicas e administrativas que proporcionem maior segurança aos dados, alteração dos contratos existentes e elaboração dos que se fizerem necessários, elaboração dos documentos que se revelem importantes de acordo com o modelo de negócio, como política de privacidade, termo de uso, código interno de conduta etc.

As várias fases do processo de adequação são individualizadas ou podem se sobrepor, de acordo com o porte da organização e a sua realidade.

A adoção de uma “adequação” rápida não coloca a organização em conformidade com a Lei e termina por consistir numa fraude, já que a boa fé é um dos grandes princípios do regime jurídico da proteção de dados pessoais. A exigência de transparência no tratamento dos dados e o exercício dos direitos pelos titulares terminariam por evidenciar as irregularidades maquiadas, o que implicaria numa sanção mais severa.

Vale lembrar que o titular tem sempre o direito de saber quais os seus dados tratados por uma empresa ou profissional e como se dá o tratamento – é o direito de acesso aos dados, de forma facilitada e gratuita; uma concretização do princípio legal do livre acesso (art. 6º, IV).

Uma eventual resposta ao titular dos dados, que não seja suficientemente clara, viola por si só a LGPD, por transgredir o princípio da transparência, além do próprio princípio do livre acesso. A tentativa de dificultar o acesso do titular ao tratamento das suas informações representa incidente de violação dos dados, suscetível de reclamação perante a Autoridade Nacional de Proteção de Dados – ANPD, ou mesmo aos órgãos de defesa do consumidor, e de aplicação de penalidade.

A melhor alternativa para a organização que ainda não se adequou à LGPD é buscar um profissional competente para elaborar um plano de adequação e iniciar a sua implementação, para demonstrar alguma boa fé e se retirar do estado de ilegalidade absoluta.