O ano de 2020 foi um ano atípico e marcante para todos. Para o tema da proteção de dados, não poderia ser diferente. Por isso, nós da equipe de Proteção de Dados do Baptista Luz Advogados decidimos recapitular os principais e mais marcantes acontecimentos envolvendo a temática da privacidade e da proteção de dados pessoais e indicar aquilo que entendemos que podemos esperar para o ano de 2021.
Janeiro, Fevereiro e Março
A Global Privacy Assembly, fórum global de cooperação entre autoridades de proteção de dados, reune as principais diretrizes de autoridades de Proteção de dados, que decidiram por facilitar o compartilhamento de dados para combater a pandemia. Ainda, o European Data Protection Board reconhece a possibilidade de compartilhamento de dados de saúde sem o consentimento dos titulares, desde que observadas as medidas de segurança e anonimização de dados.
O PL nº1179/20 propõe, dentre outras normas transitórias, a prorrogação em 12 meses da entrada em vigor da LGPD. Em proposta final, o PL convertido na Lei nº 14.010/20 adia a LGPD para janeiro de 2021, exceto pelas suas sanções, que passarão a valer em agosto de 2021.
Abril
Durante a tramitação do PL nº 1179/20, a MP 959/20 levantou a possibilidade de prorrogação da LGPD para maio de 2021.
Maio
O STF suspende os efeitos da MP 954/20, que determinava o compartilhamento obrigatório de dados de cadastro entre empresas de telecomunicações e o IBGE, em apoio à produção estatística oficial durante a pandemia. Mais importante: o STF reconhece, na mesma decisão, a autodeterminação informativa e proteção de dados pessoais como direito fundamental autônomo.
Início do julgamento da ADI nº 5.527 e da ADPF nº 403, sobrea possibilidade de suspensão dos serviços de aplicativos de mensagens em função de suposto descumprimento de ordem judicial pleiteando acesso ao conteúdo das comunicações dos usuários. A Ministra Rosa Weber reconhece a possibilidade de bloqueio apenas para provedores que descumprirem a legislação brasileira sobre coleta, guarda, armazenamento ou tratamento de dados
Junho e Julho
O Tribunal de Justiça da União Europeia considera inválido o Privacy Shield (acordo entre EU e EUA para transferência internacional de dados pessoais), em processo movido por Maximiliam Schrems (Caso Schrems II). O Tribunal entendeu que os programas de vigilância implantados pelo governo estadunidense representam violação aos direitos, à privacidade e à proteção de dados garantidos pelo GDPR. Essa decisão pode ainda ter impacto nas transferências entre Brasil-EUA, na medida em que os mecanismos de transferência internacional da LGPD se assemelham àqueles estabelecidos no GDPR.
Agosto e Setembro
Aprovação da MP 959/20 sem o artigo que previa o adiamento da LGPD, considerado tema prejudicado, vez que rejeitado quando da votação do PL nº 1.179/20. A MP é convertida na Lei 14.058/20.
No dia 18 de setembro de 2020, entra em vigor a Lei Geral de Proteção de Dados Pessoais, por meio da sanção da Lei 14.058/20.
No mesmo dia publica-se o Decreto nº 10.474/20, que aprova a estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD). O Decreto remanejou cargos de outros órgãos do Governo para a ANPD, organizou a autoridade como órgão da presidência e estabeleceu competências da ANPD e de seus respectivos órgãos.
Outubro
Proferida a primeira decisão judicial com base na LGPD, pelo TJSP, com condenação de empresa por uso indevido de dados pessoais. Nomeados, ainda, cinco Diretores da ANPD, o diretor presidente e quatro integrantes do conselho, indicados pelo Governo Federal e aprovados pelo plenário do Senado.
Novembro e Dezembro
São noticiados dois vazamentos relevantes de dados do Ministério da Saúde, envolvendo dados pessoais sensíveis: o primeiro, que expôs cerca de 16 milhões de brasileiros diagnosticados com Covid-19, e o segundo, que expôs aproximadamente 200 milhões de brasileiros beneficiários do SUS – incluindo autoridades do Governo Federal.
Na sequência, uma decisão judicial do Distrito Federal suspende a venda de dados pessoais por um bureau de crédito, suposta violação à LGPD.
Na França, grandes multas são impostas, em três situações diferentes, por violações ao GDPR (i) 3 milhões de euros pelo fornecimento de informações imprecisas sobre o tratamento de dados e desrespeito aos prazos de retenção de dados; (ii) 100 milhões de euros por conta de falha na obtenção de consentimento, no fornecimento de informações adequadas sobre o uso de cookies e na implementação de mecanismos eficazes para a recusa deste mesmo uso; e (iii) 35 milhões de euros por falha no fornecimento de informações adequadas sobre o uso de cookies, igualmente, e na obtenção do consentimento dos usuários para cookies e publicidade.
2021
Em relação ao ano que vem pela frente, entendemos que o tema da proteção de dados ganhará cada vez mais importância e deverá ser prioridade entre as organizações, o que se deve, especialmente, a dois pontos cruciais:
(i) Aplicação de sanções – como indicado acima, as sanções previstas na LGPD passarão a ser aplicáveis a partir do dia 1º de agosto de 2021; e
(ii) Atuação da ANPD – com a nomeação do Conselho Diretor, a expectativa é de que tenhamos, em 2021, uma autoridade finalmente estruturada, começando a atuar na difusão do conhecimento e regulamentação do tema, como vemos em outros países. Entre os principais temas que deverão trazer alguma novidade no ano que vem estão: (a) a publicação do regimento interno da ANPD; (b) diretrizes sobre a dosimetria das sanções; (c) orientações sobre a forma de elaboração do relatório de impacto; (d) instruções sobre o cargo do DPO; além de outros temas que deverão fazer parte da agenda da ANPD, por exemplo, prazos e restrições para exercício de direitos dos titulares, forma de comunicação de incidentes e diretrizes sobre os mecanismos de transferência internacional de dados.
Condução do Programa de Governança
Você concluiu o seu famigerado projeto de adequação? Pois, então, ainda há muito a se fazer! Veja abaixo algumas sugestões de atividades que, recomenda-se, sejam conduzidas pelas empresas em 2021:
- Estruturação de uma Área de Privacidade
- Definição do Fluxo de Atendimento dos Titulares
- Elaboração de uma Matriz de Riscos para a condução do DPIA
- Alinhamento com outras companhias do setor para a criação de um Guia ou Código de Conduta
- Definição de Métricas (KPIs) de Avaliação do Programa de Governança
- Treinamentos internos (Privacy by Design, Uso de Dados de Colaboradores, Atendimento dos Titulares)
- Treinamentos para fornecedores-chave
- Gravação de treinamento para onboarding de novos colaboradores
- Simulações de Incidentes de Segurança
- Definição dos mecanismos de transferência internacional de dados
- Avaliação dos riscos envolvidos nas transferências internacionais
- Participação ativa em Associações do setor para apoiar na regulamentação do tema
Caso tenha interesse, acesse aqui nossas outras publicações de Proteção de Dados do ano de 2020.
new RDStationForms(‘privacidade-e-protecao-de-dados-fd01f030b44e4e20cbea’, ‘UA-91686746-1’).createForm();