A promulgação da Lei Geral da Proteção de Dados Pessoais (LGPD) em agosto de 2018, trouxe regras para proteção de dados pessoais aplicáveis a todos os setores da economia. Diversas empresas iniciaram seus programas de conformidade a LGPD, comumente chamados de "projetos de adequação", criando sua estrutura de governança em proteção de dados. Em setembro de 2020, com a efetiva entrada em vigor da lei, uma nova leva de empresas iniciou seus "projetos de adequação" à LGPD, buscando a implementação de medidas necessárias visando à conformidade de suas atividades de tratamento de dados com as disposições da nova lei.
No entanto, tendo em vista o tempo decorrido desde o início dessas atividades de adequação a LGPD, é certo que para muitas empresas chegou o momento de rever e atualizar as medidas que foram implementadas, para assegurar que continuem adequadas às atividades de tratamento de dados pessoais.
A promulgação da LGPD ocorreu após longa discussão que envolveu a sociedade civil e o Legislativo sobre o tema. Foram oitos anos de debate - de 2010 a 2018 -, quando a lei foi sancionada. Com forte inspiração na lei europeia, o General Data Protection Regulation (GDPR), a LGPD representou uma mudança radical sobre a forma como a proteção de dados é tratada no Brasil.
No entanto, ao contrário da União Europeia, que vinha regulando o tema desde a década de 1980, o Brasil não possuía larga experiência na regulação de proteção de dados pessoais. Até a promulgação da LGPD, o Brasil contava apenas com leis e regulamentos setoriais, muitas vezes incoerentes e conflitantes entre si. Mais importante ainda: não havia uma autoridade regulatória responsável pelo tema, o que também contribuiu para a ausência de uma cultura de proteção de dados no país.
O projeto de lei que deu origem à LGPD previa, quando de sua aprovação pelo Congresso Nacional, a criação da Autoridade Nacional de Proteção de Dados (ANPD). Contudo, os dispositivos legais que previam a criação da ANPD acabaram sendo vetados e a LGPD foi sancionada sem uma autoridade responsável pela fiscalização e regulação da lei. A ANPD só veio a ser criada alguns meses depois, com a Medida Provisória n. 869/2018, convertida em lei no ano seguinte.
No entanto, a ANPD só começou a funcionar, de fato, em novembro de 2020, com a nomeação de seu conselho diretor, ou seja, após a entrada em vigor da LGPD (que ocorreu em setembro de 2020). Portanto, a lei entrou em vigor sem a regulamentação de diversos pontos, muitos dos quais até hoje encontram-se pendentes, considerando o início tardio do funcionamento da ANPD.
Desse modo, diante da pouca experiência brasileira em proteção de dados e da ausência de regulamentação de diversos pontos da LGPD, as organizações, para implementarem seus programas de conformidade, valeram-se de diretrizes e orientações publicadas pelas autoridades de proteção de dados europeias, considerando a forte inspiração da LGPD no GDPR e a consequente semelhança entre as duas leis. Isso pode ser observado, por exemplo, na preparação dos registros de atividades de tratamento e inventário de dados, metodologias para a elaboração de relatório e impacto, implementação de mecanismos para a gestão de solicitações de titulares de dados, plano de ação para resposta a incidentes de segurança da informação, documentos ou ações exigidos pela LGPD, mas sem indicação clara de como devem ser implementados.
No entanto, em 2023, quase cinco anos após a promulgação e três anos após a entrada em vigor da LGPD, houve considerável evolução com relação à maturidade do tema no Brasil. Embora diversos aspectos da lei ainda se encontrem pendentes de regulamentação pela ANPD, como é possível constatar pela sua agenda regulatória para o biênio 2023-2024, a ANPD já publicou alguns regulamentos e orientações que podem impactar projetos de adequação implementados anteriormente.
A título de exemplo da atividade regulatória que pode levar à necessidade de revisão de medidas de adequação à LGPD implementadas em anos anteriores, destaca-se a publicação da resolução da ANPD , que estabelece algumas flexibilizações da lei para pequenas e médias empresas, startups ou associações sem fins lucrativos, que atendam certos requisitos, bem como as orientações publicadas pelo órgão acerca de cookies e outras tecnologias de rastreamento, sobre agentes de tratamento e comunicação de incidentes de segurança da informação.
Além disso, o próprio mercado, atualmente mais maduro sobre o tema, já estabeleceu alguns padrões e boas práticas atualmente adotados e esperados de outros stakeholders, regulados por vias contratuais, especialmente no que diz respeito à colaboração para resposta a incidentes de segurança envolvendo dados pessoais e para o atendimento dos direitos de titulares de dados pessoais.
Adicionalmente, a própria evolução das atividades das empresas ao longo do tempo pode levar à necessidade de revisitar e atualizar programas de conformidade à LGPD. Isso porque, novos modelos de negócio, produtos ou serviços podem acarretar novas atividades de tratamento de dados pessoais, que devem ser identificadas e serem objeto de análise de riscos. Da mesma forma, novas atividades empresariais que antes não existiam podem, por exemplo, levar à necessidade da atualização do registro de atividades de tratamento e da política de privacidade da empresa, bem como do desenvolvimento de novos relatórios de impacto à proteção de dados, todos documentos previstos pela LGPD como parte do programa governança em proteção de dados a ser instituído por um agente de tratamento.
Fato é que os programas de conformidade à LGPD podem ter início, mas é certo que não têm fim. Da mesma forma que a atividade empresarial e a legislação se desenvolvem, tais programas devem ser periodicamente revistos, de modo a garantir sua atualização à realidade da empresa, do mercado e do cenário legislativo e regulatório posto.
A conformidade à LGPD, portanto, depende da continuidade e da atualidade do programa de adequação à lei e da estrutura de governança criada para atendê-la. Não se trata de atividade que pode ser dada como concluída pelas organizações em razão da implementação das medidas iniciais de adequação. Em suma, é necessário assegurar que o programa esteja sempre atualizado e seja revisto periodicamente para garantir sua melhoria constante e efetividade.
*Paulo Lilla e Carla Segala são, respectivamente, sócio e advogada da prática de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse
