A partir de 1º de agosto, as sanções previstas na Lei Geral de Proteção de Dados (LGPD) já poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Especialistas apontam que a partir dessa data, provavelmente as empresas se preocuparão mais em demonstrar compliance com a LGPD, deixando de lado a falsa impressão de "impunidade" no tratamento e na proteção de dados dos brasileiros. Alguns escritórios de advocacia especializados observaram um crescimento vertiginoso na procura pelos serviços de adequação à nova legislação.
Segundo os advogados do PDK Advogados, cerca de 90 novas empresas procuraram os serviços do escritório, que desenvolveu um protocolo próprio para que seus clientes fiquem em conformidade com a lei.
A advogada Iara Peixoto Melo, coordenadora da área de Proteção de Dados e Direito Digital do Chenut Oliveira Santiago Advogados, ressalta que a ANPD passará a fiscalizar e autuar as empresas que estiverem em desacordo com a legislação. Na prática o que muda é que o órgão poderá multar as empresas que não estiverem adequadas.
"As multas podem chegar a R$50 milhões, dependendo da gravidade do ocorrido. As empresas já deveriam estar adequadas, uma vez que, em caso de vazamento de dados de usuários, podem responder pelos danos que causarem", ressalta Flávia Bortolini, especialista em Direito Digital e proteção de dados do Damiani Sociedade de Advogados.
Celeridade na adaptação
Luiz Felipe Rosa Ramos, da Advocacia José Del Chiaro, alerta que as empresas precisam dar prioridade à jornada de adequação à LGPD. "Em especial, estabelecer procedimentos para atender aos direitos dos titulares, como o direito de acessar os seus dados pessoais e solicitar a eliminação de dados tratados em excesso. Precisam, ainda, nomear um encarregado [o DPO] e estabelecer um protocolo de reação a incidentes de segurança. Um programa de adequação robusto não pode evitar o amplo mapeamento dos tratamentos realizados pela organização e a elaboração de uma política de privacidade, com treinamentos específicos", explica.
Os princípios definidos na legislação de proteção de dados brasileira são outro aspecto que as empresas precisam observar. Para Maria Cibele Crepaldi Affonso dos Santos, advogada do escritório Costa Tavares Paes Advogados, é indispensável observa-los. "Por exemplo, a coleta de dados deve se limitar àqueles para a finalidade a que se destinam. Se não é necessário coletar a data de nascimento do consumidor no cadastro que ele fizer para aquisição de produtos no e-commerce, esse é um dado que não deve ser coletado. Da mesma forma, é preciso ter precaução com o envio, e o compartilhamento dos dados para terceiros: se a empresa não tiver obrigação legal ou motivo e não informar na sua política sobre esse compartilhamento, não pode compartilhar dados com terceiros", analisa.
Segundo ela, "é preciso, também, certificar-se de que, caso o titular do dado solicite a exclusão ou alteração dessas informações da base de registros da empresa, é necessário que ela tenha condição de fazer o que foi solicitado. E mais: apresentar prova do que foi feito, caso necessário".
O conselheiro federal da OAB, Wilson Sales Belchior, diz que um ponto de partida seria conhecer as operações que estruturam os processos do negócio. "A partir disso, se torna possível organizar mecanismos para mitigar riscos, atender às exigências da LGPD e adotar boas práticas. Certamente essa atitude será menos custosa quando comparada à exigência de reparar todos os efeitos danosos produzidos por uma eventual infração à legislação de privacidade", ressalta.
Já Renato Valença, advogado do escritório Peixoto & Cury Advogados, alerta para que as empresas que ainda não deram início ao seu programa de governança em privacidade de dados devem fazer isso o mais rápido possível. "É comum ouvir executivos dizerem 'minha empresa é B2B, por isso não preciso me preocupar'. Isso não é uma verdade. Quase toda organização lida com dados pessoais, nem que sejam os dados das pessoas internas (empregados), e as atuais práticas precisam passar por uma avaliação. Se questionadas, as empresas precisam ter condições de provar que possuem um programa de conformidade adequado às suas atividades, baseado em políticas e regras de boas práticas", finaliza.
As multas
Com a entrada em vigor das sanções a partir de agosto, a ANPD poderá aplicar as primeiras multas com base na norma de dados pessoais. A multa pode chegar a 2% do faturamento bruto de uma empresa – limitada ao teto de R$ 50 milhões por infração – e o mais grave: a atividade corporativa poderia ser interrompida. Embora a LGPD já esteja em vigor desde o ano passado, muitas empresas deixaram para fazer as adequações necessárias somente agora, ocasionando uma verdadeira corrida pela busca de especialistas no assunto.
