Por Lucas Paglia*
Artigo publicado originalmente no Convergência Digital
A pandemia causada pelo novo coronavírus (Covid-19) obrigou uma grande parte das empresas a decretar home office e a mudar drasticamente as suas rotinas. Com isso, muitos projetos foram adiados ou até mesmo cancelados. A adequação à Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, também ficou prejudicada.
O começo de vigência da LGPD está incerto no momento. A Medida Provisória nº 959/2020 postergou seu início para 3 de maio de 2021. Entretanto, três fatores podem alterar novamente os prazos: (i) a Medida Provisória ser rejeitada expressamente em sua totalidade; (ii) a MP ter a parte que trata dos prazos da LGPD suprimida por ser assunto diverso do objeto principal da MP; e (iii) a caducidade da MP. Caso a MP caduque, a LGPD pode entrar em vigor agora em agosto de 2020, o prazo original aprovado na Lei nº 13.853/2019.
A Federação Paulista de Futebol (FPF), maior federação estadual de futebol do Brasil, encontrava-se entre as empresas que ainda não haviam concluído o seu projeto de adequação à LGPD quando determinou que os seus funcionários trabalhassem de suas casas. Mas manteve a sua adequação. Inicialmente, a partir de ferramentas de videoconferência criptografada, foi possível realizar palestras de avaliação e conscientização de funcionários dos mais diversos níveis da instituição sobre a importância da LGPD. Então, foram identificados quais seriam os pontos de maior atenção durante o projeto e demais informações que seriam essenciais na análise do arcabouço regulatório que envolveria o processo de adequação.
Após a fase de avaliação e conscientização, foram feitas mais de quarenta entrevistas para entender como as diversas áreas da Federação realizam atividades de tratamento de informações pessoais. A partir deste material, foi elaborado o Relatório de Atividades de Tratamento (em inglês, ROPA – Record of Processing Activities), documentação que mostra todas as atividades que a empresa realiza com base em informações pessoais, quais dados são utilizados em cada atividade, quais documentos suportam tal atividade, bem como qual a base legal utilizada em cada atividade.
A equipe da P&B Compliance, responsável pelo projeto, analisou todos os documentos necessários à adequação, propor alterações e elaborar novos documentos. Cada advogado em sua casa contou com o auxílio e a disposição de todos os departamentos da entidade. Quando a situação se normalizar, será necessário apenas adaptar algumas atividades em sistemas, que ficam na sede da Federação, na Barra Funda, em São Paulo.
O cuidado com o tratamento dos dados pessoais deverá fazer parte do dia a dia da entidade, ligado diretamente aos seus processos internos, visando fornecer a segurança aos titulares dessas informações. Para isso, a FPF estuda a implementação de um departamento de Data Protection Officer (“DPO”), para que o tratamento desses dados permaneça sempre de acordo com a LGPD, mesmo após o final de seu projeto de adequação.
Dentre as funções do DPO, estão a educação dos funcionários da organização, a adoção das melhores práticas ao tratamento dos dados pessoais, a elaboração e melhoria de processos que se refiram a essas informações, a comunicação com os titulares de dados pessoais e com a Autoridade Nacional de Proteção de Dados.
A pandemia e o home office não podem ser um impeditivo para a adequação de empresas à LGPD. Existe um grande risco de judicialização de demandas em relação à proteção de dados no futuro. Ademais, a Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável por fiscalizar o cumprimento da legislação, poderá aplicar diversas sanções às empresas que não estejam adequadas quando a legislação entrar em vigor. Tais sanções podem ir de advertência à multa, incluindo a exclusão de dados pessoais, medidas que podem ser muito prejudiciais às empresas.
Precisamos otimizar o tempo de home office e dar continuidade ao projeto de adequação o mais breve possível, pois mesmo que a lei seja postergada, o trabalho ainda estará lá para ser feito. Com auxílio de uma consultoria especializada e adotando todas medidas de segurança para dar continuidade ao projeto de adequação em tempos de home office, as empresas que se adequarem primeiro à LGPD terão uma vantagem competitiva sobre as demais, já que mais cedo ou mais tarde, todos teremos que enfrentá-la.
*Lucas Paglia, sócio da P&B Compliance, advogado especialista em gerenciamento, mitigação e mapeamento de risco, pós-graduado em Compliance pela Fundação Getúlio Vargas e certificado pelo Insper e Data Privacy Brasil em Proteção de Dados & Privacidade.