Embora a Lei Geral de Proteção de Dados (LGPD) esteja em vigência desde 2020, somente no mês de agosto deste ano uma de suas determinações mais importantes passou a ser válida. Trata-se dos artigos que deliberam sobre as sanções administrativas - também conhecidas como multas - a que empresas dos setores público e privado estão sujeitas em caso de infrações confirmadas pela Agência Nacional de Proteção de Dados (ANPD).
Segundo observa a advogada e professora doutora da Universidade Católica de Pernambuco (UNICAP), Paloma Saldanha, a atuação do órgão, que foi criado para, entre outras coisas, monitorar o cumprimento da Lei Geral de Proteção de Dados, não deve partir de uma premissa estritamente acusatória, mas sim, ancorada nas possibilidades de defesa e diálogo.
##RECOMENDA##
“É importante lembrar que a Agência é um órgão recém-criado da administração pública federal e toda a fiscalização, como a própria Lei estabelece, deve acontecer por meio administrativo de modo a garantir o contraditório, a ampla defesa e o direito de recurso, caso a decisão administrativa não seja o esperado pela empresa supostamente infratora”, ponderou a especialista, que também é Presidente da Comissão de Direito da Tecnologia e da Informação (CDTI) na OAB de Pernambuco.
Além dos aspectos ligados às punições, que incluem advertências, multas de até 2% do faturamento (limitadas a R$ 50 milhões), ou até o bloqueio de dados da empresa, a ANPD também é responsável por promover ações socioeducativas, visto que, o debate sobre privacidade e compartilhamento de dados ainda é considerado “novo” na sociedade brasileira.
Nesse sentido, Paloma Saldanha destaca ainda que a expectativa é de que o órgão “assuma agora o papel de orientar, educar e sanar dúvidas da sociedade civil em geral, antes de, necessariamente, iniciar o processo punitivo com multa por violação ao estabelecido na Lei”. Segundo ela, “assim como já vem acontecendo, as pessoas que se sentirem lesadas em seus direitos poderão procurar o Poder Judiciário, o Ministério Público ou o PROCON para solucionar a questão”.
Preciso implementar a LGPD na minha empresa. E agora?
O Sebrae estima que o Brasil tenha cerca de 19 milhões de empreendimentos. Destes, 6,5 milhões figuram na classificação dos micro-negócios, enquanto outros 900 mil são EPPs (empresas de pequeno porte). Diante da LGPD, é certo que todos os negócios precisam se adaptar, contudo, o processo enfrentado por empresas com pouca estrutura jurídica e tecnológica pode ser ainda mais desafiador.
No intuito de orientar sobre a “tratativa dos dados”, ou seja, assegurar que as informações dos clientes estejam protegidas de acordo com o que determina a lei, serviços de assessoria jurídica têm se multiplicado pelo país. A advogada Roberta Lôbo, especialista em LGPD no escritório Pontes e Lôbo, explica que “esses profissionais vão ajudar a entender as mudanças que a lei propõe, quais são os pontos mais relevantes para o negócio e quais consequências a lei pode gerar em cada caso”.
“Para isso, os profissionais irão acompanhar cada fase do planejamento, sugerindo mudanças e adequações. Além de alterar processos já existentes, criar novos procedimentos, emitir relatórios, criar protocolos, auditar e atuar na crise, quando ocorrer o vazamento de dados”, explicou.
Lôbo destaca ainda os seis tipos de penalidades ou multas previstas na LGPD:
Advertência:
Essa modalidade virá com um prazo para que a empresa se adeque à legislação. Caso não corrija no prazo estipulado, haverá penalidade.
Multa simples em cima do faturamento ou multa diária:
A multa pode ser de até 2% do faturamento da pessoa jurídica. O limite é de 50 milhões de reais por infração. A punição diária também será limitada a 50 milhões de reais.
Publicização da infração:
Neste caso, a infração se tornará pública e os prejuízos à imagem da empresa são incalculáveis.
Bloqueio dos dados pessoais:
A sanção administrativa impede que as empresas utilizem os dados pessoais coletados até a situação se regularizar.
Eliminação dos dados pessoais:
A sexta penalidade prevista na LGPD obriga a empresa a eliminar por completo os dados coletados em seus serviços, causando danos à operação da empresa.
Setores jurídico e de T.I precisam estar alinhados
Apenas a atuação individual de juristas especializados na legislação de dados não é o suficiente para garantir o integral cumprimento da LGPD nas empresas. Por isso, de acordo com Paloma Saldanha, é preciso que exista “uma parceria entre jurídico, negócio, e T.I [Tecnologia da Informação]”.
Os setores tecnológicos da empresa, geralmente posicionados na linha de frente no que se relaciona ao recebimento de dados dos consumidores, necessitam seguir a tendência de regulamentação. ”O não ‘cometimento de infrações’ está diretamente ligado ao comprometimento da alta gestão e dos colaboradores com o funcionamento da cultura de proteção de dados estabelecida no ambiente”, enfatiza Saldanha.
Na balança dos prejuízos ocasionados pela infração da lei, segundo ela, o fechamento de contratos pode ser ainda pior que as multas aplicadas pelo órgão responsável. A especialista também cita outro importante aspecto sobre a relação de fornecimento de dados que pode existir entre empresas parceiras.
“De nada adianta a empresa X estar em conformidade com a LGPD e legislações afins se a empresa Y, fornecedora/parceira da empresa X, estiver em desconformidade. As duas estarão automaticamente em desconformidade e isso gera perdas contratuais de todas as espécies”, ressalta.
O que prevê a LGPD
Aprovada e sancionada sob a perspectiva de evitar o vazamento de dados e garantir o respeito à privacidade e outras garantias individuais, a Lei Geral de Proteção de Dados regula as operações realizadas pelos setores público e privado com dados pessoais, a exemplo de coleta, uso e armazenamento dessas informações.
“A lei define regras, princípios e fundamentos que devem ser observados por todas as pessoas físicas ou jurídicas que optam por tratar dados pessoais, em território nacional, com finalidade econômica. Assim, a definição de diretrizes diminui a incidência de violações a direitos constitucionalmente estabelecidos, por exemplo, e empodera o(a) titular dos dados – eu e você – a partir do momento que estabelece, no corpo do texto, os direitos nos cabem e as obrigações dos agentes de tratamento em fazer cumprir esses direitos”, detalha Saldanha.