Depois de aprovada em 2018 e prevista para entrar em vigor no dia 14 de agosto deste ano, a Lei Geral de Proteção de Dados (LGPD) passou, de fato, a vigorar no Brasil em setembro. Para esclarecer algumas dúvidas, Abranet pediu ao coordenador da área de compliance e contencioso estratégico de São Paulo no GVM Advogados, Diego Martinez, responder algumas questões, explicando principalmente como as PMEs devem se adequar. Confira abaixo as respostas.   Abranet — A LGPD entrou em vigor no Brasil em setembro, mas as punições e multas previstas serão aplicadas a partir de agosto de 2021. As multas poderão ser retroativas? O que isto significa efetivamente para as empresas? Diego Martinez — As multas não podem retroagir e somente deverão ser aplicadas a partir de agosto de 2021 pela ANPD, todavia, existem outros órgãos, como por exemplo, Ministério Público e Procon, que estão atentos às determinações e às diretrizes da LGPD e que podem atuar defendendo os interesses dos titulares e consumidores. Como as empresas de menor porte, as PMEs, devem se adequar? A maioria não tem um departamento focado em compliance e nem os recursos para fazer as adaptações. O que elas têm de fazer primeiro e como traçar um plano para estar em conformidade? A primeira etapa é assessment: a identificação, o mapeamento, avaliação, diagnóstico e o plano de ação e mitigação dos riscos do tratamento dos dados pessoais. Depois, deve-se entender e avaliar todo o caminho percorrido pelos dados pessoais desde a entrada na empresa, o caminho percorrido, o ciclo de vida dos dados até o descarte ou eliminação. Deve-se verificar se todas as informações recolhidas são necessárias, se todos os dados têm finalidade clara e verificar onde estão sendo armazenados e se estão seguros e protegidos por um sistema de segurança da informação. Fazer um levantamento de como os dados são obtidos, se tem consentimento explícito e se compreendem com o que estão consentindo, por quem os dados são acessados, se a confidencialidade está garantida e se os dados estão em uso, bem como verificar se as políticas de privacidade estão de acordo com a LGPD. Na segunda etapa, entra a implementação, a execução do plano de ação de mitigação dos riscos, o acompanhamento, a melhoria contínua e os resultados auferidos. E, a terceira etapa, é de gestão: deve-se contratar um responsável (DPO), que fica encarregado pela comunicação entre a empresa e a ANPD e o titular dos dados; pela criação e gestão do canal de comunicação – Hotline; pela gestão do tratamento dos dados pelo controlador e operador; pelo treinamento de conscientização sobre a importância dos dados pessoais e o programa de privacidade; pelo monitoramento e melhoria contínua da adequação da LGPD à empresa; e pela elaboração periódica de relatórios de impacto. Qual deve ser o foco de atenção para os provedores de internet? O foco de atenção consiste na obtenção precisa das informações acima, especialmente da gestão de avaliação de riscos, ou seja, se estão estritamente de acordo com as diretrizes da LGPD para que não ocorra vazamento de dados. E, mais do que isso, se a empresa prestar bens e serviços em território europeu, mesmo estando sediada aqui, ela tem que se adequar, além da LGPD, à General Data Protection Regulation – GDPR.