Já estão valendo as punições para quem não estiver em conformidade com as regras da Lei Geral de Proteção de Dados, a LGPD. Desde o último domingo (1º) a Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável pela fiscalização dos dispositivos da nova lei, já pode aplicar punições a todos que não respeitarem a legislação. Essa vai ser a primeira semana com as regras valendo e, a partir das ações da ANPD, o mercado e as empresas verão como se comportar. As sanções incluem advertências e multas de até 2% do faturamento (limitado a R$ 50 milhões), além da possibilidade de bloqueio dos dados.
O momento do início das sanções exige agilidade para quem ainda não se adequou às mudanças, apesar do longo tempo do chamado vacatio legis, expressão latina que significa vacância da lei, correspondendo ao período entre a data da publicação de uma norma e o início de sua vigência: a norma foi aprovada em 2018 e começou a valer em 18 de agosto de 2020.
Leia também: As vendas por Whatsapp no contexto da LGPD
“A LGPD não é um projeto de início, meio e fim. Ela é contínua e passa a fazer parte da governança corporativa. Portanto, a empresa que ainda não se adaptou às novas regras precisa trabalhar rapidamente para iniciar esse processo, começando por um diagnóstico minucioso nas áreas que tratam dados pessoais”, afirma Vítor Pedrozo, sócio head de serviços forenses da Grant Thornton Brasil.
O especialista explica que é preciso entender quais ajustes devem ser feitos e identificar as oportunidades de melhorias, tanto do ponto de vista de governança e de controles quanto de tecnologia, de acordo com os termos da legislação. “A partir daí, tem início um processo de maturidade e incorporação dessa nova conduta dentro das operações. Isso é o principal e, quanto mais demora, menos tempo útil para se fazer testes e entender qual é a estrutura mais adequada para a empresa”, diz.
É bom lembrar que as sanções podem atingir pessoas físicas ou jurídicas que realizam coleta e tratamento de dados em todo o território nacional, com o objetivo de fornecer bens e serviços. Portanto, é necessário cumprir regras no tratamento de dados pessoais dos clientes, independentemente do porte da empresa.
Por isso, a regulamentação é importante não só para o meio legal: vai impactar profundamente os casos de uso de dados de mais de 210 milhões de brasileiros, além das organizações públicas e privadas que coletam, tratam, guardam, processam e comercializam os dados pessoais. Esse tratamento de dados pode ser entendido como qualquer procedimento que utilize dados pessoais como coleta, processamento, armazenamento, utilização, divulgação e compartilhamento, entre outras opções. Todos os dados pessoais, como nome, idade, estado civil e documentos, por exemplo, só podem ser coletados mediante o consentimento do usuário.
“A lei vem criando uma cultura de respeito e integridade à privacidade dos dados pessoais, no intuito de garantir segurança e tranquilidade aos clientes, parceiros e consumidores, bem como ao mercado, prevenindo eventuais fraudes ou uso indevido que possa afetar a intimidade, a honra e a imagem do titular de tais dados ou até a tentativa de obter alguma vantagem ilícita no mercado”, avalia Diego Martinez head da área de compliance no escritório GVM Advogados.
O problema é que muitas empresas ainda não se adequaram à nova lei. E isso tem causado uma demanda além do esperado para escritórios de advocacia e especialistas em proteção de dados. "São tantas empresas correndo contra o tempo que é difícil definir em números, mas pela procura dá para dizer que a maioria segue longe do ideal. Muitos escritórios de advocacia, por exemplo, estão recebendo uma alta demanda de serviços relacionados à LGPD, mas é provável que o cenário neste primeiro mês seja de muitas infrações sendo penalizadas", afirma o advogado André Macêdo, sócio da MRD Consulting.
Veja também: LGPD: Consumidor tem direito limitado à exclusão de dados por empresas
"As empresas já preocupadas com normas de compliance e alinhadas aos padrões adequados de governança estão em vantagem. Elas não só correm menos riscos daqui pra frente, como também economizaram dinheiro, pois tiveram menos esforços para corrigir possíveis práticas que ferem a LGPD. A gestão de riscos acabou por ganhar um novo desafio através desta lei, pois com certeza ela vai mudar a maneira que os executivos encaram a administração dos dados que as empresas geram. Entender a importância do trabalho preventivo e de assessoria de alta qualidade é de suma importância para os negócios", diz o advogado.
Eduardo Magrani, sócio de Privacidade, Tecnologia e Cibersegurança do Demarest, afirma que mesmo antes da vigência das sanções, a LGPD já tinha que ser observada. As empresas que não começaram ainda a se adequar a esse cenário têm que realmente fazer esse compliance o mais rápido possível, mas não de qualquer jeito.
"O compliance adequado, é um compliance que demora; não se faz da noite para o dia. Tem processos demorados como o processo de mapeamento de dados, processo de análise de risco e impacto dos tratamentos de dados pessoais, e as revisões de todas as políticas e contratos, por exemplo. O compliance de dados vai muito além de uma política de privacidade num site, de cookies, são muitas facetas que têm que ser observadas nessa busca pelo cumprimento da LGPD para atender a todos esses requisitos. É importante que as empresas tenham dimensão da complexidade e eventualmente, também, da dificuldade de se fazer esses processos de cumprimento em tempos muito curtos. É melhor fazer um processo de adequação com calma e rigor do que de qualquer jeito da noite para o dia", afirma.
O especialista explica que há danos que podem ser tão graves quanto essas sanções, por exemplo, dano reputacional no caso de vazamento de dados pessoais. "Portanto, o compliance de proteção de dados deve ser visto de maneira holística. A sanção é um componente importante desse compliance, mas ele vai além das sanções. As empresas têm que mirar nesse compliance mais robusto, que enxerga todos os riscos envolvendo privacidade e proteção de dados, e não enxergando somente de um ponto de vista negativo, mas cada vez mais observando o compliance de dados como algo fundamental para o aumento da confiança dos consumidores, dos titulares de dados pessoais - que estão realmente observando esse compliance de um ponto de vista positivo e como algo que vai agregar positivamente a empresa", diz.
Início das punições e denúncias
A expectativa agora é que os órgãos públicos intensifiquem as fiscalizações e denúncias de infrações. Algumas já estavam sendo apuradas mesmo antes das sanções. Em um dos casos, que teve início em junho, o Ministério Público do Estado do Rio de Janeiro (MPRJ), por meio da 2ª Promotoria de Justiça de Tutela Coletiva e Defesa do Consumidor e do Contribuinte, instaurou inquérito civil para apurar se a concessionária Naturgy, responsável pela distribuição de gás no Estado, está violando a LGPD.
De acordo com as denúncias, no site da Naturgy o consumidor seria obrigado a autorizar o uso de seus dados pessoais pelo grupo e suas empresas parceiras e terceirizadas para ações comerciais, promocionais e/ou de marketing para conseguir enviar mensagem para a concessionária. Assim, o envio das mensagens - geralmente reclamações sobre o serviço prestado - só seria concluído mediante o fornecimento das informações.
O promotor de Justiça Rodrigo Terra oficiou à Naturgy requisitando que, no prazo de até 30 dias, a concessionária se manifeste acerca da representação, informando se procedem as referidas alegações, bem como esclareça quais as medidas adotadas a fim de sanar o problema noticiado, inclusive, enviando documentos que o comprovem.
A Naturgy divulgou uma nota afirmando que cumpre todas as determinações da LGPD e que todos os tratamentos feitos pela companhia possuem base legal dentro dessa legislação.
Esse tipo de ação mostra que, a partir de agora, além da ANPD, outras entidades públicas como o Ministério Público e o Procon também vem sendo protagonistas, porque já vem acompanhando o desenvolvimento dessas atividades defendendo os interesses dos titulares e consumidores.
Para o advogado Victor Hugo Pereira Gonçalves, fundador e presidente do Instituto Sigilo, ONG de defesa da proteção de dados pessoais, compliance e segurança da informação, apesar do início das sanções, muitas condutas podem continuar a violar a lei.
"Temos acompanhado grandes vazamentos de dados no Brasil que atemorizam cada vez mais as pessoas. Embora o texto da lei seja bastante claro e completo no sentido de gerar proteção total, na prática, o que vemos revela o mesmo roteiro: descaso institucional e pedido de desculpas dos controladores. Mas o titular de dados continua sendo prejudicado", afirma.
Para André França Cardoso, CEO da Assesso, provedora de software e consultoria para Gestão da Informação e Qualidade de Dados, que atende empresas como Natura, Gol, Santander e Sodexo, o planejamento e a eficiência operacional são a chave para evitar as multas da LGPD.
“O impacto de não atender à lei pode não estar sendo sentido agora, mas o peso no caixa das empresas vai ser grande a partir deste mês de agosto. Quando se faz uma avaliação a médio e longo prazo, é possível perceber que estar em conformidade com a LGPD traz vantagem competitiva no mercado. A função da governança de dados não deve ser apenas evitar penalizações", avalia.
Assuntos relacionados: Como fica o Código de Defesa do Consumidor a partir da vigência da LGPD?
Add new comment