agosto 26, 2020

[Segurança] Habemus LGPD !!! (com memes)

De repente, a incerteza foi substituída pelo desespero!


E o drama sobre o início da Lei Geral de Proteção dos Dados Pessoais (LGPD) finalmente chega ao fim, trazendo mais drama para as empresas brasileiras. #LGPDrama


No final desta quarta-feira, 26/08, o Senado apreciou a Medida Provisória 959, que estava prevista para expirar neste mesmo dia. A MP, que no seu artigo 4 adiava inicialmente a LGPD para 03 de Maio de 2021, foi aprovada ontem pela Câmara com um novo prazo, indicando o início da vigência da LGPD para 31 de Dezembro de 2020. Mas, em sua apreciação da MP, o Senado decidiu retirar esse artigo sobre a LGPD (veja vídeo) e, portanto, volta a valer o prazo anterior a MP 595, definido pela Lei 13.853/19, que era o dia 15 de Agosto deste ano (24 meses após a aprovação da lei).


Agora, a MP 959 segue para apreciação da Presidência, rebatizada de o Projeto de Lei de Conversão (PLV) 34/2020. Mas como o artigo 4o foi retirado (o artigo referente a LGPD), o presidente não pode colocá-lo de volta. Assim, no momento em que houver a aprovação ou veto da MP pela Presidência, o novo texto da LGPD entra em vigor, sem a alteração na vigência causada pela MP. E assim, a LGPD passa a valer imediatamente (ou, se a Presidência não se manifestar, a MP automaticamente perde a sua validade).

Mas é importante ressaltar que a LGPD não passa a valer imediatamente, a partir de 26/08. Isso porque o Presidente tem um prazo de até 15 dias úteis para apreciar o texto da MP aprovado pelo Senado, e portanto, segundo explicado em nota pelo Senado e também defendido por algumas pessoas, a vigência da LGPD só será alterada após publicada a decisão da Presidência. Assim, podemos ter um período de até 15 dias úteis para que a LGPD entre realmente em vigor. Na prática, isso significa que o seu prazo de início deve acontecer até Setembro deste ano..

"O Senado Federal aprovou nesta quarta-feira (26) a medida provisória nº 959/2020 que adiava, em seu art. 4º, o início da vigência da LGPD (Lei Geral de Proteção de Dados). Ocorre que o art. 4º, foi considerado prejudicado e, assim, o adiamento nele previsto não mais acontecerá.
No entanto, a LGPD não entrará em vigor imediatamente, mas somente após sanção ou veto do restante do projeto de lei de conversão, nos exatos termos do § 12 do art. 62 da Constituição Federal: (...)
Assim, ressaltamos que a Lei Geral de Proteção de Dados - LGPD só entra em vigor após a sanção ou veto dos demais dispositivos da MP 959/2020."
Mas, nada no Brasil é simples ou trivial. Existe quem defenda que os artigos rejeitados da MP perdem a sua validade imediatamente, ao ir para avaliação presidencial. Ou seja, nessa interpretação do artigo 62, parágrafo 12 da Constituição Federal o que está valendo é o texto do projeto de lei encaminhado pelo congresso, e não o texto original da MP. Na minha opinião, o texto da Constituição Federal é um pouco confuso e permite essas duas interpretações :( Olha só:
§ 12. Aprovado projeto de lei de conversão alterando o texto original da medida provisória, esta manter-se-á integralmente em vigor até que seja sancionado ou vetado o projeto.


Na prática, a decisão do Senado fez com que os profissionais da área considerassem que LGPD entrou em vigor imediatamente - e por isso todos assumiram que sua vigência valeria a partir de amanhã, 27 de agosto (o que não é exatamente uma verdade, como dito acima).


Com isso, no rigor da lei, todas as empresas brasileiras e empresas internacionais que fazem negócios no Brasil já deveriam estar adequadas a LGPD!!! Embora as empresas estejam desesperadas, alguns ativistas comemoraram o início imediato da lei.



O problema, na minha opinião, é que a adequação à LGPD é um processo muito longo e trabalhoso para as empresas, pois exige a revisão de todos os passos do seu negócio que estejam relacionados a algum acesso ou manipulação de dados pessoais. As empresas precisam revisar seus processos internos, identificar e validar as necessidades de coleta e processamento de dados - além de mapear suas bases de dados, e precisam adequar suas ferramentas existentes. As vezes, é necessário adquirir novas ferramentas específicas para os processos relacionados ao tratamento de dados pessoais, tais como ferramentas de monitoramento de dados, ferramentas específicas para atender as requisições de acesso dos titulares de dados, etc.



Com a antecipação no início de vigência da LGPD (de Maio de 2021 para "agora", ou seja, quase 9 meses de diferença), muitas empresas ainda estavam no meio do processo de adequação e, assim, estão obrigadas a se adaptar minimamente em um prazo muito curto, de no máximo 15 dias (contando até o prazo máximo para a MP 959 ser sancionada ou vetada). Essas empresas, portanto, foram prejudicadas com essa mudança e estão obrigadas a rever suas prioridades e investimentos, para se adequarem em um período tão curto de tempo.

Além disso, sem a ANPD, existem muitos detalhes de implementação da LGPD que estão em aberto (como prazos de atendimento de solicitações, informação mínima que devem ser disponibilizadas em relatórios, padrões para anonimização e para portabilidade de dados, etc). Essa falta de alguns padrões dificultam o processo de adequação.


IMPORTANTE: Embora a LGPD entre em vigor "imediatamente", as sanções previstas na Lei só podem ser aplicadas a partir de 01 de Agosto de 2021.

A explicação jurídica sobre a decisão do Senado, que virou totalmente o jogo da LGPD, é que os senadores entenderam que o texto sobre a vigência da LGPD já havia sido discutido anteriormente, logo pelo regimento interno da casa, não poderia ser discutido novamente. O Senado, portanto, excluiu do texto da MP 959 o artigo número 4, que até então prorrogava a vigência da LGPD para 31 de dezembro de 2020 (segundo decisão recente da Câmara). Isso tudo aconteceu após uma questão de ordem levantada pelo líder do MDB, o senador Eduardo Braga.

Também merece destaque que a LGPD entrará em vigor mesmo sem que a Autoridade Nacional de Proteção de Dados (ANPD) esteja em operação, o que nos deixa com várias pendências regulatórias e detalhamentos da lei em aberto. Isso causa uma situação de grande insegurança jurídica.

Atualização em 27/08: nesta data o governo publicou no Diário Oficial da União (DOU) o Decreto 10.474/2020 que aprova a estrutura regimental e o quadro de cargos da Autoridade Nacional de Proteção de Dados (ANPD), o órgão integrante da Presidência da República que terá como objetivo proteger os direitos fundamentais de liberdade e privacidade, monitorar a aplicação da lei e, principalmente, regulamentar diversos itens da LGPD. A ANPD será formada por um Conselho Diretor; pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que atuará como órgão consultivo, e por órgãos de assistência direta, como ouvidoria, secretaria geral e assessoria jurídica.

Sem querer tumultuar, ainda pode acontecer muita coisa nesse nosso Brasil-sil-sil. Existe a possibilidade, por exemplo, do governo editar uma nova Medida Provisória nos próximos dias, estabelecendo um novo prazo para a vigência da LGPD.

Para saber mais:

PS 1: Diversas atualizações foram realizadas no mesmo dia de publicação desse post, assim que novidades foram surgindo. Post atualizado com o link para o tweet do Senado informando sobre a aprovação da MP 959 sem o artigo da LGPD. Atualizado novamente com o link para o artigo do portal Convergência Digital. Atualizado novamente para corrigir alguns erros de digitação no texto (que, obviamente, foi escrito as pressas). Atualizado novamente para incluir a notícia no portal do Senado.

PS/2: Post atualizado para incluir a interpretação de que a LGPD não entrará em vigor imediatamente, pois é possível que o prazo de vigência da LGPD só seja atualizado após a sanção ou veto da Presidência, que pode acontecer a qualquer momento nos próximos 15 dias úteis. Atualizado novamente para incluir também parte da nota de esclarecimento do Senado sobre esse assunto. Atualizado para incluir a especulação sobre o futuro da LGPD.

PS-3: Post atualizado em 27/08 com mais informações e opiniões sobre o início da vigência da LGPD e seu impacto para as empresas. Também incluída a notícia sobre o decreto que regula a ANPD. O Dr. Adriano Mendes gravou um vídeo bem legal e objetivo para esclarecer o que irá acontecer agora com a LGPD, incluindo sua possível vigência começando em Setembro, a publicação do Decreto que cria a ANPD e lembrando que as multas da LGPD só serão aplicáveis a partir de 01/08/2021 (ano que vem).


PS 4 (adicionado em 27/08): Não podemos nos esquecer que a discussão no congresso sobre a vigência da LGPD envolveu diversos aspectos políticos e ideológicos. De um lado, há quem defenda o início imediato da lei para garantir o direito dos cidadãos a sua privacidade, e do outro lado há a preocupação do empresário em se adequar a lei em pleno período de pandemia e crise econômica. E, para pirar tudo isso, houve quem levasse a discussão para uma disputa de poder entre os partidos :(


PS 5: Realizado pequenos ajustes no texto e incluí um meme novo em 27/08. Atualizado novamente em 28/08. Pequena atualização em 31/08.

PS 6 (adicionado em 31/08): Sim, já tem empresas oferecendo para implementar a LGPD em 24h na sua empresa.


PS 7: Atualização em 22/09 - Vale a pena lembrar que a LGPD entrou em vigor oficialmente a partir de 18/09, com a publicação no diário oficial da lei 14.058, antiga MP 959. Nada melhor do que comemorar isso com mais alguns memes!




PS 8 (adicionado em 24/08): Não custa lembrar que os cookies são considerados informação pessoal, de acordo com a definição dada pela LGPD.



PS 9 (adicionado em 30/12): Mais um último meme para fechar o ano:

Postado por em
Marcadores: , , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.