Ainda que a aplicação de sanções administrativas pelo órgão de regulação comece apenas em agosto deste ano, o Judiciário já tem recebido ações e proferido decisões com base na Lei Geral de Proteção de Dados Pessoais (LGPD).
Empresas, independente do porte ou atividade econômica, devem buscar a adequação o quanto antes, sob risco de serem surpreendidas por alguma das muitas portas para denúncias abertas pela lei. O alerta foi dado por especialistas na live “LGPD – Principais aspectos na implantação”, realizada pelo IBEF SP em 8 de abril.
O evento teve como painelistas Beatriz Tenuta, gerente sênior da prática de Risk Advisory da Deloitte; Maressa Juricic, diretora da prática de Cybersecurity e Privacidade da PwC; e Samara Schuch, sócia diretora de Cybersecurity e Privacy da KPMG. O debate foi moderado por Mario Mafra, vice-presidente do IBEF SP.
Oportunidade de capacitação – Para auxiliar os associados na compreensão da LGPD, sob a ótica dos gestores, o IBEF SP abriu inscrições para seu primeiro curso do ano, em parceria com a Finted Tech School. O treinamento “LGPD – Impactos e segurança da informação nos negócios” acontecerá nos dias 06, 11, 13 e 18 de maio. Clique aqui para fazer sua inscrição.
“Vamos discutir no curso o uso de dados e os aspectos relacionados a governança corporativa, como criar o ambiente multidisciplinar demandado por esse projeto. E também os princípios da lei, questões relacionadas a reputação, olhar do investidor, entre outros aspectos, sempre na visão do gestor e que impactam a sustentabilidade corporativa”, destacou Alexandre Zavaglia, da FinTed, na abertura da live.
Portas abertas para denúncias – Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar o cumprimento da LGPD, assinou acordo de cooperação técnica com a Secretaria Nacional do Consumidor, ligada ao Ministério da Justiça, e órgãos de defesa do consumidor.
O objetivo desse acordo, que prevê a uniformização de entendimentos sobre uso dos dados pessoais dos consumidores, é auxiliar na fiscalização e tornar as investigações sobre incidentes e violações de direitos previstos na LGPD mais eficientes e rápidas, destacou Samara Schuch durante o debate.
“No Brasil temos uma cultura de defesa do consumidor muito forte”, ressaltou a sócia diretora de Cybersecurity da KPMG. “Os consumidores, por hábito, procuram os órgãos de defesa do consumidor e até juizados especiais e o Judiciário para fazer reclamações. São todas portas que estão abertas”.
Compartilhamento com terceiros – Apesar de a ANPD só iniciar a aplicação de sanções para casos de descumprimento da LGPD a partir de agosto de 2021, a lei já está sendo utilizada para fundamentar decisões de órgãos administrativos e judiciais.
“Temos cinco decisões já envolvendo o Judiciário e o Ministério Público com base na LGPD, e desse total, coincidentemente, quatro tratam do mesmo tema: o compartilhamento indevido de dados com terceiros”, observou Samara, notando que este aspecto talvez deva ser o primeiro grande risco a ser mitigado em um trabalho preventivo nas empresas.
Sanções previstas – A LGPD já está com todos os seus artigos em vigor, porém ainda existem alguns pontos em discussão. Um deles é como as sanções previstas na lei serão aplicadas, qual seu rigor e os critérios considerados, acrescentou Maressa Juricic.
“Hoje é um anseio do mercado: saber como a violação da LGPD vai ser medida”, ressaltou a diretora da PwC. A ANPD disponibilizou sua agenda regulatória e estratégica em fevereiro deste ano. Nela, o órgão se compromete a trazer essas orientações para que as empresas possam se adequar da melhor forma.
As sanções administrativas que poderão ser aplicadas pela ANPD, a partir de agosto, previstas no artigo 52 da LGPD, podem incluir advertência e multas financeiras, entre outras penalidades. As multas podem chegar a 2% do faturamento da pessoa jurídica, não podendo ultrapassar o limite de R$ 50 milhões por infração.
Riscos para o negócio – Contudo, o que mais preocupa as empresas não é a penalidade financeira, mas os riscos reputacionais e de negócio. Pois o rol de sanções aplicáveis pela ANPD também engloba a publicização da infração, uma vez apurada e confirmada, e mesmo o bloqueio ou a eliminação do conjunto de dados pessoais referentes à infração, o que pode ter forte impacto para a imagem e as atividades da companhia.
“As empresas às vezes gastam milhões em campanhas de publicidade e ações para construir uma marca forte. E, de repente, na violação da legislação ou mesmo num incidente envolvendo dados pessoais, podem sofrer esse tipo de sanção e perceber que a confiança do consumidor na sua marca mudou. É o que está acontecendo na Europa, em função da GDPR, e nos Estados Unidos, com as notícias divulgadas nos jornais sobre grandes vazamentos de dados”, completou Maressa.
Equívocos comuns – A LGPD visa proteger os direitos e liberdades individuais das pessoas em relação ao uso de seus dados pessoais sem seu explícito consentimento. Como na atual sociedade os dados pessoais estão em todos os lugares, nenhuma companhia está excluída da lei, esclareceu Beatriz Tenuta.
Muitos profissionais tendem a acreditar, de forma equivocada, que suas empresas não precisam se adequar à LGPD seja porque não lidam com um grande volume de dados pessoais, seja porque têm um modelo B2B, não coletam ou tratam dados para fins comerciais ou porque são muito pequenas.
“É um erro de entendimento, porque há dados pessoais de colaboradores, parceiros de negócios, pessoas que representam os clientes”, observou a gerente sênior de Advisory Risk da Deloitte.
Outro equívoco comum é pensar na LGPD apenas em relação ao digital, dados armazenados em sistemas ou nuvem. A lei também se aplica a documentos físicos; dados pessoais em papel precisam ter identificadas sua finalidade e base legal para tratamento.
Prevenção é o melhor caminho – Para evitarem sanções, as empresas devem rapidamente implementar um programa de governança em privacidade que faça sentido para seu modelo de negócio e dimensão organizacional, seja pequena ou grande, destacou Beatriz.
Mapear o fluxo e o ciclo de dados pessoais no negócio, identificar se há compartilhamento de dados com terceiros (operador), estabelecer políticas claras de privacidade, nomear e divulgar quem é o DPO (encarregado da proteção dos dados pessoais) – que pode ser um funcionário ou um terceiro (DPO as a service) -, e criar um canal público de comunicação para que os titulares dos dados possam manifestar e exercer seus direitos são alguns dos vários passos necessários para a adaptação à LGPD.
“São pontos que as pequenas e médias empresas possuem no escopo, precisam se adequar e iniciar a jornada de conformidade, o quanto antes, para evitar qualquer tipo de penalização; seja pelos órgãos atuais ou futuramente pela própria ANPD”, completou a especialista.
