Na sexta feira passada (14.08.2020) foi comemorado dois anos desde a sanção da Lei Geral de Proteção de Dados Pessoais (Lei Federal 13.709¹) no Brasil, sendo que um dos destaques mais importantes desta norma, é a sua vigência (ainda incerta), devido a não apreciação da MP 959/2020, gerando uma grande insegurança jurídica e impactos na implementação de programas de conformidade das empresas com a referida Lei.

A referida Medida Provisória, caso não seja apreciada em tempo pela Câmara dos Deputados, perderá sua eficácia em 26 de agosto deste ano. Neste cenário, a LGPD passa a vigorar de imediato, com exceção de suas sanções administrativas previstas no art. 52.

Dessa forma, com a vigência próxima é fundamental que toda a Administração Pública e as empresas nacionais se adequem o quanto antes aos dispositivos e princípios norteadores da Lei Geral de Proteção de Dados Pessoais, especialmente em relação ao devido tratamento destes dados conforme as hipóteses estabelecidas pelo artigo 7° da referida norma, e o estabelecimento de medidas de gestão, controle e mitigação de riscos inerentes à segurança da informação.

A título exemplificativo da relevância das adequações de segurança insta ressaltar o recentemente caso divulgado nos sites de notícia em todo o país, de que o grupo de pesquisadores de segurança da informação, Insanity Security Lab, publicou no dia 10 de agosto em sua página do Facebook, uma notificação sobre a vulnerabilidade existente no site da OAB Nacional, ocasionado por uma falha de segurança no módulo de pré-cadastro, fazendo com que, na prática, os dados pessoais de aproximadamente 1,3 milhão de advogados com registro na ordem em todo o Brasil, fossem disponibilizados na internet de forma ampla e sem nenhuma medida de segurança aplicável. Sendo imperioso destacar que o artigo 5º da Lei Geral de Proteção de Dados (Lei 13.709/2018) considera dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”.

Casos assim demonstram as vulnerabilidades (falhas relacionadas à segurança do ambiente digital) oriundas dos avanços tecnológicos vivenciados nos últimos anos, evidenciando a necessidade de mais investimentos em uma infraestrutura adequada no tocante à segurança da informação e a necessária discussão e ampliação de uma gestão de riscos a ser implementada em diversos setores da sociedade.

Considerando o episódio exposto acima, caso a LGPD estivesse em vigência, deveria a OAB Nacional (com a finalidade de estar em conformidade com a lei) ajustar os seus bancos de dados às bases legais para tratamento (art. 11), adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais (art. 46), bem como demonstrar que seu controlador e operadores de dados estão adotando padrões mínimos e boas práticas de governança para realizar o tratamento dos dados pessoais (art. 50 da Lei).

Nesse sentido, é exigido que o controlador, em casos de incidente de segurança com potencial de risco ou eventuais danos aos titulares de dados, comunique em tempo hábil este fato à Autoridade Nacional de Proteção de Dados - ANPD (art.48, da LGPD), para posterior determinação de adoção de providências e avaliação do ocorrido, como por exemplo, a ampla divulgação do fato em meios de comunicação e a adoção de medidas para reverter ou mitigar os efeitos do incidente (§ 2, I e II do art. 48).

Por fim, ainda há tempo para que as organizações de todo o país possam realizar um plano para implementação de seu programa de conformidade com a Lei Geral de Proteção de Dados Pessoais, podendo reconhecer e aproveitar este período de vacância da referida lei, como uma oportunidade de gerar valor e demonstrar a relevância de uma cultura organizacional pautada no direito à privacidade e proteção de dados pessoais frente aos seus titulares.


Autor: Guilherme Rodrigues Muller, advogado, Secretário Geral da Comissão de Direito Digital da ABA/Cuiabá – Associação Brasileira dos Advogados de Cuiabá.

1 Lei n. 13.709/2018. Disponível em: Clique aqui.