Tem causado estranheza o posicionamento de algumas empresas deixando “para depois” as mudanças das gestões interna e externa em relação ao que prevê a LGPD, lei federal 13.709/2018, porque “ainda não há fiscalização” da Autoridade Nacional de Proteção de Dados - ANPD, órgão responsável pelo exercício do poder de polícia. Pior: temos visto algumas assessorias aconselhando esse tipo de postura.

Os empresários ainda tranquilos começam a perder o sono, já que a adequação das rotinas ao que preveem os dispositivos legais necessita uma internalização que não é rápida, tanto em termos administrativos quanto de pessoal.

Essa adequação e a implantação de procedimentos da atividade empresarial, a depender do tamanho e da estrutura da empresa, pode levar de 90 dias a um ano, já que a mudança de rotinas, bem como adoção de medidas de prevenção, revisão de documentação, e a internalização pelos funcionários e colaboradores do espírito da LGPD requerem conhecimento específico das determinações e principalmente das responsabilidades.

Não há como perder de vista a necessidade de capacitar pelo menos uma pessoa de cada departamento, além da(s) diretoria(s), com cenários que correspondam àquelas situações de incidente de segurança. Mas não é só. As mudanças básicas e necessárias, em sua maioria, se referem às dúvidas que todos têm em relação a “o que fazer com dados pessoais” que foram captados junto aos clientes e como tratá-los (Tratamento é conceito da lei).

Como captar o dado pessoal? Posso compartilhar com terceiros? Como guardá-lo num banco de dados na nuvem? Na minha atividade econômica, preciso do consentimento do titular dos dados?

A empresa deve estar totalmente preparada quando a ANPD iniciar a fiscalização e não ficar aguardando sua atuação para se adequar.

O que nos parece óbvio se relaciona ao tempo, já escasso, necessário para que a empresa faça uma auditoria permanente dos procedimentos e posturas de seus funcionários e colaboradores.

Por isso devemos observar que: 

    1. Independentemente de haver fiscalização da ANPD, o titular de dados pessoais pode, e isso já tem acontecido, promover ação judicial de indenização por danos materiais e/ou morais contra a empresa, caso ocorra um incidente de segurança ou um compartilhamento indevido de dados sem consentimento com empresas parceiras, por exemplo; além

      2.  O Ministério Público pode acionar o Poder Judiciário com pedidos para que a empresa indenize um dano coletivo.

Fora isso, a empresa pode ser obrigada a tirar seu site do ar e amargar um offline por longo período. 

A empresa mal assessorada em relação aos efeitos da LGPD irá aguardar a data do início da fiscalização para, aí sim, se adequar às determinações e entender quais as responsabilidades advindas dessa má gestão. A lembrança de um ditado do interior do Brasil nos vem à mente para uma postura errada como essa: “tarde piaste”.

São Paulo, 23 de fevereiro de 2021.

Bernardina Furtado e Paulo Abrão