A Lei Geral de Proteção de Dados – LGPD, aprovada em 2018, deveria vigorar integralmente a partir de agosto de 2020. Porém, através de medida provisória, o Governo Federal determinou que ela entre em vigor somente em maio de 2021.
Enquanto isso, há uma divisão de opiniões em torno do adiamento. Há quem defenda a urgência da aplicação da lei e quem comemore a postergação. Para empresas e demais instituições, esse tempo a mais para a implementação é uma boa notícia.
Conforme relatório divulgado pela consultoria ICTS Protiviti, 84% das 192 empresas entrevistadas ainda não possuem diretrizes para a adequação. Ou seja, as instituições continuam despreparadas para a implementação.
E esse despreparo coloca o Brasil ainda mais atrás de vários países. Entre eles, Colômbia, Chile, Argentina e Uruguai, além de União Europeia e Estados Unidos. Ao todo, mais de 100 países já adotaram medidas similares.
Faltando cerca de três meses para que a LGPD entrasse em vigor, conforme o prazo inicial, todos os setores de indústria, comércio e serviços já deveriam estar adequados às exigências. Inclusive empresas do setor de saúde.
Por isso, a prorrogação tende a favorecer as instituições que ainda não se prepararam. Todavia, esse novo prazo precisa ser encarado como uma oportunidade de crescimento e inovação, e não deve ser ignorado.
Porque a Lei Geral de Proteção de Dados foi criada?
A partir do uso massivo de ferramentas digitais, a coleta de informações sobre pessoas se tornou ampla e bastante facilitada. Com isso, aumentaram os riscos do uso indevido de dados, configurando abuso e violação do direito à privacidade. Direito esse, aliás, que é garantido pela Constituição Federal brasileira.
Desse modo, a necessidade de uma legislação específica sobre a proteção de dados – não só digitais, mas também físicos – se tornou latente. O que, consequentemente, ampliou o debate em torno do assunto. E assim surgiu a Lei nº 13.709/2018, chamada Lei Geral de Proteção de Dados.
A LGPD traz um conjunto de normas que regula quaisquer atividades que tratem, armazenem e utilizem dados pessoais. Na prática, a legislação dá mais controle aos consumidores sobre suas informações. E às empresas, maior transparência e responsabilidade na guarda e uso de dados.
Para o cidadão, a garantia de não-violação dos direitos proporciona maior confiança nas instituições. Em contrapartida, empresas e órgãos públicos deverão passar por mudanças significativas em torno da adequação de sistemas. Isso significa a adoção de tecnologias que podem gerar investimentos de alto custo.
LGPD vs RGPD: resultados da legislação europeia
O desenvolvimento da LGPD foi baseado no Regulamento Geral de Proteção de Dados (RGPD), lei que abrange a União Europeia e está em vigor desde 2018. Por lá, as empresas tiveram dois anos de prazo para adequação, uma vez que a lei foi aprovada em 2016.
Apesar de ter sido criada por um bloco econômico específico, a RGPD impacta todo mundo, devido à globalidade da internet. Desse modo, ela também regulamenta a exportação de dados pessoais para além dos limites da UE.
Conforme divulgado em matéria da associação PROTESTE, após um ano de aplicação da norma, um relatório do Capgemini Research Institute mostrou que apenas 28% das empresas se encontravam em conformidade com as novas regras.
Como resultado, mais de 144 mil reclamações de violação ao RGPD foram registradas. Destas, quase 90 mil se converteram em notificações contra empresas, gerando 56 milhões de euros em multas.
Autoridade Nacional de Proteção de Dados (ANPD)
A Lei Geral de Proteção de Dados traz consigo uma série de normas e requisitos. Conforme trata o art. 2º da LGPD, “a disciplina da proteção de dados pessoais tem como fundamentos:
- o respeito à privacidade;
- a autodeterminação informativa;
- a liberdade de expressão, de informação, de comunicação e de opinião;
- a inviolabilidade da intimidade, da honra e da imagem;
- o desenvolvimento econômico e tecnológico e a inovação;
- a livre iniciativa, a livre concorrência e a defesa do consumidor; e
- os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.”
Baseado nisso, a legislação cria também a Autoridade Nacional de Proteção de Dados – ANPD. Esse é o órgão responsável por zelar pelo sigilo das informações e fiscalizar as empresas quanto ao cumprimento da LGPD.
E sobretudo, garantir a aplicação das normas e sanções aos infratores nos casos de violação dos fundamentos expressos acima. Para isso, haverá permissão para que o regulador solicite, a qualquer momento, relatórios e documentos das instituições, certificando o cumprimento das regras.
MP 959 e o adiamento da obrigatoriedade
Recentemente assinada pelo presidente Jair Bolsonaro, a Medida Provisória nº 959 alterou o início da vigência da LGPD. Com a prorrogação, a lei passará a valer, em sua totalidade, em maio de 2021.
Automaticamente, as sanções previstas já poderão ser aplicadas a partir desta data, quando se inicia também a atuação da ANPD. Entretanto, essa alteração de prazo depende da confirmação do legislativo. Caso a MP perca sua validade, o vigor da LGPD volta a valer a partir de 29 de agosto deste ano.
Apesar de o Governo Federal não deixar claras as razões do adiamento, especialistas apontam relação com os custos da implementação. Diante de um cenário econômico crítico por conta da pandemia do Coronavírus, tal investimento não seria viável. Assim, um maior tempo de adequação se torna benéfico para as instituições.
Portanto, esta é uma nova chance para que o acerto das operações digitais, evitando multas por descumprimento das normas. E mais do que isso, é uma oportunidade a ser aproveitada pelo mercado brasileiro para construir iniciativas e planejar ações de inovação tecnológica. Especialmente no setor de saúde, essa visão estratégica tende a demonstrar o alto preparo para a gestão dos negócios.
Impactos e desafios da LGPD no setor de saúde
Seja no âmbito público ou privado, as instituições de saúde devem se preocupar com os impactos da LGPD, uma vez que lidam diretamente com a confidencialidade de dados e diagnósticos de pacientes.
E para se adequarem à nova lei, deverão investir em sistemas de gestão de dados, avaliação de riscos, segurança de transferência de dados, entre outros. Nesse ponto, adotar um modelo de gestão baseado em compliance tende a gerar resultados bastante satisfatórios.
Outro ponto positivo é que já existem diversas soluções tecnológicas disponíveis para o setor de saúde. Em termos de segurança de informações, o blockchain surge como uma ferramenta indispensável aos gestores e profissionais do setor de saúde preocupados em atender às regras da LGPD.
Contudo, sabemos que os desafios para uma adequação 100% eficiente são inúmeros. Por isso, a recomendação é de que o processo seja feito em quatro etapas básicas:
1. Inventário: identificar e inventariar todos os dados pessoais da base, incluindo a classificação, responsável pelo controle e processamento, e modo de transferência.
2. Gerenciamento: avaliar o nível de proteção dos dados em todos os setores envolvidos, próprios ou de terceiros.
3. Proteção: definir quais ações necessárias para a proteção dos dados e implantar soluções com base em tecnologia e governança que contemple toda a instituição.
4. Monitoramento: cumpridas as três etapas básicas, é hora de monitorar e auditar o nível de proteção instaurado, avaliando constantemente possíveis falhas e vazamentos, tanto internos quanto externos.
Todavia, esse trabalho deve ser realizado em conformidade com outras normas regulatórias. Sempre envolvendo profissionais de todas as áreas dentro da instituição.
A criação de um Comitê de Segurança e a contratação de assessorias especializadas também contribuirá para o desenvolvimento do processo. E a sua instituição, já está preparada para adequação à LGPD?