Garrastazu Advogados

Empresas que contratam com o Poder Público, ainda não adequadas, já podem sofrer prejuízos por não estarem em conformidade com a Lei Geral de Proteção de Dados.

Em agosto de 2018 foi criada a Lei Geral de Proteção de Dados, também conhecida como LGPD, incluindo o Brasil no grupo de mais de 120 países com legislação específica sobre o tema que já é predominante na União Europeia.

Apesar de ter sido aprovada originalmente em agosto de 2018, a LGPD somente começou a valer em 18 de setembro de 2020, após inúmeras alterações legislativas e um longo percalço para entrar em vigor, conforme a linha do tempo a seguir:

• 08/07/2019 - A Lei 13.853/2019 foi aprovada, e dentre as suas mudanças, estava a criação da ANPD – Autoridade Nacional de Proteção de Dados e a alteração da data de início de vigência da LGPD, para 08/2020.
• 03/04/2020: Por conta da situação pandêmica do país, somente nessa data o Projeto de Lei nº 1.179 é aprovado no Senado. Ele alterava a data de entrada em vigor da LGPD para 01/2021, com previsão de aplicação de sanções administrativas a partir de 08/2021.
• 29/04/2020: Presidência da República promove a edição da Medida Provisória 259/2020 que alterava a eficácia da lei prevendo a aplicação das penalidades para 05/2021.
• 14/05/2020: O Projeto de Lei nº 1.179 foi aprovado na Câmara e, conforme já mencionado acima, previa a aplicação das penalidades a partir de 08/2021.
• 19/05/2020: O Projeto de Lei nº 1.179 foi votado novamente no Senado, acatando a situação proposta pela Câmara alguns dias antes, ensejando a remessa do Projeto de Lei para sanção do Presidente da República.
• 12/06/2020: A Lei 14.010/2020 é sancionada pelo Presidente com previsão de aplicação de punições a partir apenas de 08/2021.
• 25/08/2020: Câmara aprova a Medida Provisória 959/2020, que definia a entrada da LGPD para 01/2021 e as penalidades para agosto do mesmo ano.
• Um dia depois da aprovação da MP pela Câmara: Senado derruba o artigo 4º da MP 959/2020 que tratava da prorrogação da vigência da Lei, fazendo com que a entrada da LGPD retornasse à 08/2020 com possibilidade de aplicação de penalidades a partir de 08/2021.
• 17/09/2020: Sanção da Presidência, aprovando a LGPD.
• 18/09/2020: LGPD entra em vigor.

Veja todo o caminho tortuoso para que apenas 02 anos depois à LGPD pudesse entrar em vigor no Brasil e ser uma exigência para todas as empresas privadas e órgãos públicos.

Mas o seu principal objetivo é proteger as informações pessoais dos cidadãos que são armazenadas e “tratadas” pelas empresas privadas e órgãos públicos, unificando algumas regras já existentes na legislação brasileira, mas que se encontravam esparsas no Código de Defesa do Consumidor e no Marco Civil da Internet, por exemplo.

Logo, a LGPD aplica-se às empresas de todos os setores da economia e principalmente à administração pública, que realizem o tratamento de dados pessoais, independentemente do meio (físico ou digital), do país de sua sede ou do país onde estejam localizados os dados.

Assim, desde que entrou em vigor no dia 18/09/2020, a LGPD já vem sendo cobrada em editais de licitação pública.

IMPLEMENTAÇÃO DA LGPD É NECESSÁRIA PARA ESTAR UM PASSO NA FRENTE DOS CONCORRENTES

Como já alertado, os órgãos públicos são obrigados a se adequarem à LGPD e, consequentemente, têm que estabelecer que as empresas selecionadas nos ditames licitatórios também estejam conformadas com essa legislação para poder executar o objeto dos contratos.

Ou seja, o cumprimento aos artigos da LGPD consta como uma das obrigações da empresa contratada em licitações. Grandes companhias privadas também estão exigindo adequação à LGPD nos contratos com fornecedores e terceirizados - uma exigência básica para que todos possam cumprir as normas de proteção de dados.

Apesar de somente em agosto de 2021 passarem a ser aplicadas as multas e sanções previstas na LGPD, quando verificado o descumprimento ou a não implementação, empresas que contratam com o Poder Público, ainda não adequadas, podem sofrer prejuízos, visto que os órgãos públicos em seus editais de licitação já estão exigindo a adequação à LGPD como uma obrigação contratual e de manutenção dos contratos.

A exigência das medidas de proteção de dados está presente em editais de licitação em todo o país. Por exemplo, em 18 de janeiro de 2021 a Companhia Pernambucana de Saneamento - COMPESA - lançou um edital para prestação de serviços de gestão de projetos e processos de tecnologia. No capítulo sobre obrigações da contratada consta “h) Obedecer à Lei Geral de Proteção de Dados”, embora não mencione como tal requisito possa ser demonstrado.

Ainda, no edital do MINISTÉRIO DA CIDADANIA no capítulo de Deveres e Responsabilidades, destaca que a empresa contratada deve executar o objeto em “estrita observância dos ditames estabelecido pela Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD)”

Importante destacar que a empresa demonstra que está adequada à LGPD não por meio de uma declaração formal de adequação, mas pelo somatório de toda a mudança de planejamento em proteção de dados.

A empresa precisará adotar uma política de proteção de dados; uma política de privacidade direcionada ao público; um relatório de riscos e impactos, entre outros instrumentos, bem como uma mudança de cultura. É preciso demonstrar esse conjunto de medidas, não bastando apenas uma declaração de obediência à lei.

E não adianta “fazer de conta” que adotou todas as medidas necessárias no tocante à proteção de dados, a adequação à LGPD é uma obrigação da empresa. É importante que a empresa adote corretamente as medidas necessárias à proteção de dados de maneira eficaz, documentando todas as suas posturas a fim de comprovar a cultura.

Se houver descumprimento ou simulação quanto a isso, a empresa sofrerá as sanções previstas na Lei e/ou traçadas no contrato administrativo.

Portanto, as empresas devem, urgentemente, tomar as providências necessárias à proteção dos dados pessoais de funcionários, fornecedores, contratados e clientes seguindo os protocolos legais. Além dessas medidas já serem cobradas em contratos - públicos e privados -, a partir de agosto o descumprimento poderá resultar na aplicação de multas graves. A LGPD vem funcionando, inclusive, como fundamento em ações judiciais sobre o uso e tratamento indevido de dados pessoais, especialmente na seara trabalhista.

CONSENTIMENTO, NECESSIDADE E FINALIDADE DA LGPD

O armazenamento e o tratamento dos dados devem se nortear por alguns princípios básicos previstos na própria LGPD, em especial, no Consentimento e nos Princípios da Finalidade e da Necessidade.

O consentimento é a base da LGPD. Ele implica na necessidade de clareza na solicitação de autorização de uso e tratamento dos dados do titular, os quais devem anteceder a utilização, bem como na autorização expressa e inequívoca para tratamento dos dados. A ausência de consentimento para o tratamento de dados é exceção à regra, aplicando-se a organizações públicas ou privadas que podem tratar dados tornados públicos manifestamente pelo cidadão em tempo anterior à vigência da LGPD. O consentimento do titular deve estar previsto em cláusula contratual independente, podendo ser revogado a qualquer tempo pelo titular mediante solicitação ao controlador.

O princípio da finalidade, por sua vez, pressupõe que o tratamento dos dados deve servir a uma finalidade específica, que deve respeitar os pressupostos norteadores do princípio da necessidade (mínimo necessário) e de livre acesso do titular aos seus dados.

Alcançada a finalidade do tratamento de dados, estes devem ser eliminados, exceto para uso de pesquisa ou acesso exclusivo do controlador, ou em decorrência de exigência legal, desde que sejam anonimizados os dados.

Esses princípios básicos são o norte necessário para demonstrar que a LGPD está sendo ou já foi implementada dentro da empresa.

AFINAL DE CONTAS, COMO FAÇO PARA IMPLEMENTAR A LGPD NA MINHA EMPRESA?

Cada caso é um caso, sendo necessário sempre uma consultoria especializada para averiguar.

A insegurança sempre aparece quando temos novidades chegando. Contudo, a necessidade da implementação da LGPD nas empresas privadas, somada à exigência em editais de licitação, torna extremamente importante a consultoria jurídica para a devida adequação à Lei Geral de Proteção de Dados.

Se você gostou desse artigo, deixe o seu comentário abaixo, ou caso você precise de um esclarecimento adicional sobre o tema, escreva e pergunte para a gente.

Abraços,
Garrastazu Advogados.