Estabelecida em 14 de agosto de 2018, a Lei Geral de Proteção de Dados — Lei 13.709 entra em vigor em 20 de agosto de 2020, daqui a um ano. Ou seja, ainda há tempo hábil para as organizações que ainda não se adaptaram garantirem o compliance com a LGPD, mas é preciso agir de forma bem estruturada e assertiva.
É com esse período de um ano até a entrada em vigência da lei, aliás, que a maioria dos negócios brasileiros está contando. Segundo pesquisa da Serasa Experian, 85% das empresas do país ainda não estão adequadas à LGPD.
Para saber mais sobre a pesquisa, os desafios da adequação à Lei Geral de Proteção de Dados e o atual cenário e perspectivas da lei, continue a leitura.
O que você vai conferir:
Apenas 15,2% das empresas já estão totalmente preparadas
Realizada em março deste ano, a pesquisa da Serasa Experian avaliou 508 empresas B2B e B2C de 18 ramos de atuação, de todas as regiões do Brasil e com diferentes portes.
Entre os executivos ouvidos pela pesquisa, somente 15,2% afirmaram que sua empresa já estava plenamente preparada para atender às exigências da Lei Geral de Proteção de Dados.
Os 85% restantes dividem-se entre diferentes etapas de demora para a adequação plena, entre as empresas que estariam adequadas dentro de 1 mês (8,9%) até dentro de 1 ano (24%). Porém, 7,3% das empresas avaliadas estariam preparadas dentro de um período entre 1 e 2 anos, enquanto 3,7% delas precisariam de mais de 2 anos para se adequar.
Para auxiliar na adequação dentro do prazo necessário, 72% dos negócios com mais de 100 funcionários planejam contratar um profissional ou consultoria especializada. Tal medida não é obrigatória, mas ajuda especialmente as organizações que, daqui até agosto de 2020, não têm tempo a perder até que a LGPD entre em vigor.
Os principais pontos de dificuldade
Entre os executivos entrevistados pela Serasa Experian, a pesquisa identificou alguns pontos de dificuldade comuns à maioria das empresas. A maioria dos participantes sentem que “não estão por dentro da nova legislação”, o que dificulta — e atrasa — o processo de adequação.
Entenda algumas das diretrizes da LGPD que mais geram dúvidas e dificuldades:
Consentimento do titular
A preocupação com a questão do consentimento do titular (ou seja, o indivíduo a quem os dados pessoais se referem) quanto à coleta, armazenamento e uso de seus dados pessoais é um assunto recente no que diz respeito à legislação sobre o tema e, portanto, levanta dúvidas.
Quanto a isso, há dois aspectos fundamentais que a empresa não pode deixar de atender. Primeiramente, é preciso entender se o consentimento é obrigatório ou se o tratamento que sua empresa vai fazer com esses dados pessoais encaixa-se em um dos casos de exceção estabelecidos pela LGPD, em que não é necessário pedir o consentimento do titular.
O segundo ponto é que, quando o consentimento for pedido, ele deve se referir a um uso específico — portanto, não é possível simplesmente solicitar que o cliente autorize que sua empresa trate os dados dele sem que haja uma necessidade concreta para tal.
Portanto, é preciso avaliar internamente todas as situações em que dados pessoais do usuário são solicitados, para que eles são pedidos e o que é feito com as informações posteriormente. Dessa forma, é possível identificar quais casos exigem ou não o consentimento e, para os que exigem, como ele é pedido.
Eliminação, alteração e transferência de dados
Outra das regras mais comentadas da Lei Geral de Proteção de Dados é a determinação de que o titular tem direito a exigir a eliminação, a alteração ou a transferência de seus dados pessoais a qualquer momento e, dentro do prazo estabelecido pela lei, as empresas devem obedecer a essa solicitação.
Tais diretrizes levam a uma série de funcionalidades que devem ser implementadas nas empresas. O banco de dados deve ser organizado de tal forma que seja possível identificar todos os dados armazenados pertencentes a cada titular, tornando possível sua exclusão, por exemplo, caso isso seja solicitado.
Além disso, é preciso verificar se não há regras de compliance que exigem que os dados pessoais dos clientes permaneçam armazenados na empresa por um período determinado de tempo. Nesses casos, a exclusão de tais informações não deve ser feita, mesmo que solicitada pelo cliente.
As incertezas que ainda cercam a LGPD e a ANPD
O Art. 7º, Inciso IX da LGPD estabelece que o consentimento não é obrigatório quando o tratamento de dados for “necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.
Esse é um dos pontos que mais gera dúvidas, o que promete continuar até que a lei efetivamente entre em vigor, em agosto de 2020. Afinal, o que são “interesses legítimos”?
O termo não é especificado na lei, mas o Art. 10º traz alguns esclarecimentos sobre o assunto. Estabelecendo que o conceito de legítimo interesse apenas pode fundamentar o tratamento de dados pessoais para “finalidades legítimas, consideradas a partir de situações concretas”, o texto da lei diz que tais situações incluem, mas não se limitam, a:
- apoio e promoção de atividades do controlador;
- proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD.
Portanto, não há uma definição fechada sobre o que são legítimos interesses, cabendo ao melhor entendimento de cada empresa dentro das especificações dispostas na lei. As dúvidas e incertezas sobre essas diretrizes devem permanecer até agosto de 2020, quando começaremos a ter exemplos concretos sobre o que configura o legítimo interesse.
Enquanto isso, a Autoridade Nacional de Proteção de Dados também ainda não está totalmente definida. A Lei 13.853, que cria o órgão regulador, foi sancionada pelo presidente Jair Bolsonaro em julho deste ano. Entretanto, Bolsonaro instituiu nove vetos ao texto original da lei, que devem ser votados pelo Congresso para serem efetivamente eliminados. Até o momento, não há previsão para a votação. Também está pendente a redação do decreto que efetivamente estruturará a ANPD.
A doze meses da entrada em vigência da lei e diante dos pontos de incerteza que ainda a cercam, é fundamental ter um planejamento bem estruturado sobre o que deve ser feito na empresa para que ela fique em compliance com a Lei Geral de Proteção de Dados. Escute nosso podcast sobre o assunto e saiba mais sobre como preparar sua organização!
É fundamental verificar também se seus parceiros e fornecedores estão preparados. As soluções de Background Check, biometria facial e leitura de documentos da idwall asseguram o correto cumprimento de suas normas de compliance, inclusive com a LGPD. Entre em contato pelo formulário abaixo e saiba como podemos automatizar seu processo de onboarding:
