Como o até então o Brasil não tinha uma lei específica de tratamento de dados pessoais, as empresas se deparam com a demanda pela criação de uma cultura de proteção de dados pessoais que, a depender de seu segmento de atuação, não existia, pontuou Beatriz Paccini, sócia do Brasil Salomão e Matthes Advocacia, ao responder a questões da Abranet com relação à entrada em vigor da Lei Geral de Proteção de dados (LGPD).  Com relação à adequação das pequenas e médias empresas, Paccini apontou que a LGPD trata as empresas de forma igual, independentemente do seu porte, mas lembrou que a Autoridade Nacional de Proteção de Dados (ANPD) poderá editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas, empresas de pequeno porte e startups possam se adequar à LGPD. “Ocorre que a ANPD ainda não foi devidamente constituída, de modo que não existem, até o momento, normas específicas para empresas de menor porte”, assinalou. Leia a íntegra da entrevista:  Abranet — As punições e multas previstas pela LGPD já podem ser aplicadas? Como funcionam?  Beatriz Paccini — É importante esclarecer que a LGPD prevê dois tipos de punição. A primeira decorre da responsabilidade civil e está prevista no seu artigo 42, que determina que, em caso de violação ao disposto na LGPD, o agente de tratamento poderá ser responsabilizado pela reparação do dano, seja ele patrimonial, moral, individual ou coletivo. Esse artigo entrou em vigor em 18/9/2020. Já as sanções administrativas, previstas no artigo 52, que vão desde advertências até multas, que podem alcançar o patamar de 2% do faturamento do grupo econômico, limitadas a R$ 50.000.000,00, entram em vigor a partir de agosto de 2021. Essas sanções administrativas não poderão ser aplicadas retroativamente. Contudo, como destacado, a empresa que descumprir a lei já está sujeita a responder civilmente pelos danos que eventualmente causar. Como as empresas de menor porte, as PMEs, devem se adequar? A maioria não tem um departamento focado em compliance e nem os recursos para fazer as adaptações. O que elas têm de fazer primeiro e como traçar um plano para estar em conformidade? A LGPD, em princípio, trata as empresas de forma igual, independentemente do seu porte. Contudo, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por regular a LGPD, poderá editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas, empresas de pequeno porte e startups possam se adequar à LGPD. Ocorre que a ANPD ainda não foi devidamente constituída, de modo que não existem, até o momento, normas específicas para empresas de menor porte. De qualquer forma, entendo que a primeira coisa a ser feita é analisar se a empresa tem como uma de suas atividades o tratamento de dados pessoais e se ela pode realizar melhorias para evitar que haja eventuais vazamentos de tais dados.  Destaca-se que até então o Brasil não tinha uma lei específica de tratamento de dados pessoais, o que demandará a criação de uma cultura de proteção de dados pessoais por parte das empresas que, a depender de seu segmento de atuação, não existia. Assim, espera-se certa razoabilidade dos nossos tribunais e órgãos responsáveis na aplicação da lei, em especial neste momento inicial, no qual as empresas ainda estão adquirindo mais conhecimento sobre a lei e implementando seus programas de adequação. Eu indicaria em especial os seguintes passos, considerando o disposto na lei: 1. Indicar o encarregado, responsável pela comunicação com os titulares e com a Autoridade Nacional de Proteção de Dados (ANPD) (atualmente todas as empresas precisam indicar um encarregado); 2. Desenvolver protocolo de atendimento aos direitos dos titulares (a lei prevê uma série de direitos aos titulares, que poderão ser exercidos mediante requisição); 3. Disponibilizar em seu site Aviso de Privacidade/Política de Proteção de Dados Pessoais/Política de Cookies e as informações de contato do Encarregado; 4. Realizar treinamentos internos e iniciar o desenvolvimento de uma cultura de proteção de dados em sua organização; 5. Mapear o tratamento de dados pessoais realizado por sua organização, com a identificação dos dados pessoais tratados, como são coletados, como são tratados, onde estão armazenados e quando e como são eliminados (a lei exige que a empresa mantenha registro das operações de tratamento de dados pessoais que realizar); 6. Averiguar se sua organização e os operadores envolvidos no tratamento adotam medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais (a lei exige a adoção de medidas de segurança); 7. Revisar e ajustar contratos que versem sobre tratamento de dados pessoais e criar regulamentação interna acerca da proteção de dados pessoais, a ser observada pelos colaboradores da empresa; e 8. Desenvolver protocolo de resposta a incidentes de segurança. Qual deve ser o foco de atenção para os provedores de internet? Entendo que o foco de atenção para os provedores de internet neste primeiro momento seja em especial:  (i) a indicação e disponibilização de informações de contato do encarregado,  (ii) a elaboração e disponibilização de seu Aviso de Privacidade, Política de Proteção de Dados Pessoais e Política de Cookies,  (iii) a criação de um protocolo de atendimento às requisições dos titulares, com a definição de regras para confirmar a identidade do titular, e  (iv) a realização do mapeamento dos dados pessoais tratados, averiguando quais dados efetivamente precisam ser tratados pela empresa, eliminando os dados pessoais desnecessários. Ainda, é de extrema importância a revisão das medidas de segurança adotadas pela empresa e por seus fornecedores, prestadores de serviço e empresas terceirizadas, no intuito de mitigar o risco de eventual vazamento de dados pessoais e danos aos titulares.  A adequação à LGPD exige a adoção de diversas medidas, sendo um programa contínuo que deverá fazer parte do dia a dia da empresa. No entanto, é preciso ter calma, já que se trata de uma lei nova, que traz bastante insegurança acerca de sua interpretação e aplicação, especialmente considerando que o órgão responsável por zelar, implementar e fiscalizar o cumprimento da lei ainda não está em operação. Ressalta-se que a lei não proíbe o tratamento de dados pessoais, mas cria regras para que ele aconteça, sendo que dentre seus fundamentos estão o desenvolvimento econômico e tecnológico e a inovação, bem como a livre iniciativa e a livre concorrência. Além disso, o tratamento de dados nem sempre depende do consentimento do titular, já que a lei prevê outras hipóteses de tratamento, como cumprimento de obrigação legal ou regulatória, execução de contratos e de procedimentos preliminares, exercício regular de direitos em processos, dentre outros. Espera-se, assim, que as empresas atuem com boa-fé e transparência, com a revisão de seus procedimentos e adoção de eventuais medidas cabíveis para proteger os direitos dos titulares.