Desde domingo passado, a lei 13.709, conhecida como Lei Geral de Proteção de Dados (LGPD) começou a valer integralmente no Brasil. Sancionada em 2018 e em vigor desde setembro de 2020, a legislação ficou quase um ano sem a cobrança de sanções administrativas, que podem chegar a até R$ 50 milhões. O período foi estabelecido pelo Congresso Nacional para que as empresas pudessem se adequar às determinações. Apesar do fim do período, a Autoridade Nacional de Proteção de Dados (ANPD) ainda trabalha em regulamentações internas à lei.
A LGPD possui duas instâncias condenatórias. Uma delas é a judicial, que já vinha valendo desde o ano passado. Até julho, já havia 660 ações condenatórias baseadas nesta lei, a primeira delas envolvia uma incorporadora e construtora, que transferiu dados de forma indevida, sem consentimento do titular ou base legal. Um advogado acionou a Justiça e a empresa precisou pagar uma indenização de R$ 10 mil por danos morais. Caso fossem aplicadas as sanções administrativas, que estão valendo desde o último domingo, a cifra poderia ser milionária.
Estas sanções, previstas nos artigos 52, 53 e 54 da lei, são referentes a 2% do faturamento bruto anual da empresa, não podendo exceder, no entanto, os R$ 50 milhões. Há outras sanções administrativas previstas, como advertência, com indicação de prazo para adoção de medidas; multa diária; bloqueio e eliminação de dados pessoais a que se refere a infração; proibição parcial ou total do exercício de atividades de tratamento de dados, entre outras. Quem exerce a fiscalização e a cobrança, nestes casos, é a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal criado em 8 de julho de 2019 para garantir o cumprimento da LGPD. Os valores cobrados no âmbito administrativo, diferentemente das ações judiciais, são destinados a um fundo de defesa de direitos difusos, do governo federal, sem nenhum tipo de indenização a pessoas físicas.
“É interessante observar que, aqui no Brasil, a maioria das situações que vão acontecer são ações judiciais”, explica Allan Machado Kovalscki, ex-superintendente de Controles Internos e Gestão de Riscos da Corsan. Atualmente diretor de uma empresa de governança corporativa, riscos e compliance, além estar à frente da Comply LGP Solutions, focada na implementação da LGPD, ele acrescenta que as duas instâncias condenatórias, contudo, não são excludentes. “Pode a ANPD descobrir determinado incidente e alguém que se sentiu lesado também acionar a Justiça.”
A legislação se aplica não apenas às empresas privadas, mas também a órgãos públicos. No caso do setor público, não podem ser feitas cobranças financeiras, mas, segundo Kovalscki, as complicações em decorrência do desrespeito da lei podem ser ainda maiores. Isso porque, além da LGPD, há obrigações com relação ao trato de informações previstas na Constituição Federal. Há, ainda, leis específicas, como a Lei 8.112 de 1990, do Estatuto do Servidor Público, a Lei 8.429, de 2 de junho de 1992, conhecida como Lei de Improbidade Administrativa, e a Lei 12.527, de 18 de novembro de 2011 -- Lei de Acesso à Informação.
A LGPD deve trazer efeitos práticos não só para empresas ou órgãos públicos, mas para o cidadão em geral. A tendência é que aquela instituição financeira ou operadora telefônica com a qual você não possui nenhum vínculo, por exemplo, deixe de ligar repentinamente para lhe oferecer promoções. “Essa operadora que liga vai ter que ter uma base legal para fazer essa ligação e, normalmente, se for para oferecer um serviço, utilizar o consentimento da pessoa”, explica Kovalscki. Ele pondera, porém, que a lei não impede ligações de cobranças de dívidas, que têm base legal para isso.
Professor associado da Faculdade de Direito e chefe do departamento de Direito Privado e Processo Civil da Universidade Federal do Rio Grande do Sul (Ufrgs), Fabiano Menke explica que, por uma questão de segurança jurídica, apesar de a lei estar em vigor, as sanções administrativas não começaram a ser feitas, porque, para isso, são necessárias as regras infralegais nas quais a ANPD trabalha ao longo deste mês. Entretanto, ressalta que fatos que violem a LGPD ocorridos a partir do domingo passado poderão ser sancionados futuramente, algo que muitas organizações podem não estar levando em conta. “Não tem nenhuma aplicação até agora, mas se cometer uma violação da lei a partir de 1º de agosto, podem sancionar quando as regras estiverem prontas.”
Desafios e vantagens para empresas
Mesmo após quase um ano destinado à adequação das exigências da LGPD, a noção de proteção de dados no Brasil, diferentemente de países europeus, é considerada recente. Por isso, um dos principais desafios para as empresas é o de não cair em falsas premissas, como a de que basta criar uma política interna de proteção e privacidade de dados. A lei, explica, não é apenas uma questão jurídica, mas multidisciplinar. “O setor jurídico faz parte, mas o foco está na gestão de riscos, é o principal fundamento”, afirma Kovalscki, que é certificado na ISO 31000.
O conceito de risco, segundo a norma, é o efeito da incerteza nos objetivos. “Tudo aquilo que pode impactar nessa proteção e privacidade de dados são riscos, tem que identificar esses riscos e propor controle para evitar que eles se materializem”, diz. Conforme ele, primeiro, é necessário identificar os objetivos, em seguida, os riscos que podem surgir, medi-los e implementar as medidas para evitar aqueles que tiverem uma alta severidade.
A LGPD, afirma Kovalscki, possui dois pilares. O primeiro deles é o da transparência. Nenhum dado pode ser coletado por uma empresa sem que o cliente saiba a sua finalidade. Ou seja, para utilizar um exemplo prático do dia a dia: se uma farmácia solicitar o CPF de alguma pessoa antes de uma compra, precisará deixar claro para que utilizará aquela informação. Isso deve ser feito dentro da sua política, que precisará ficar disponível para o cidadão. Mas a transparência não basta e, por isso, o segundo pilar é o da segurança. Os dados precisam estar protegidos, por exemplo, do ataque de hackers que os utilizarão para outros fins.
Apesar de prever uma série de adequações, a governança de dados, independentemente de uma lei, pode ser, inclusive, vantajosa para as empresas. Organizar os dados pode ser um diferencial de mercado, gerando valor competitivo. Houve, por exemplo, uma pressão externa para que a LGPD fosse aprovada. Isso porque empresas estrangeiras já precisavam cumprir legislações de proteção de dados e, em parcerias com o Brasil, acabavam assumindo os riscos sozinhas.
Em 2020, a Cisco Data Privacy Benchmark Study, um estudo duplo-cego com 2,8 mil profissionais em 13 países, mostrou que mais de 70% das organizações receberam benefícios significativos nos negócios a partir da implementação de privacidade, como eficiência operacional, agilidade e inovação. 82% disseram que consideram certificados de privacidade como ISO 27701 um fator de compra na hora de selecionar um produto do fornecedor. Mais 40% das organizações ainda tiveram, pelo menos, o dobro de retorno do que foi investido com privacidade e algumas tiveram, inclusive, um ROI (Retorno sobre o investimento) 2,7 maior do que o que foi investido. Em 2021, a mesma pesquisa trouxe que as empresas que investiram em privacidade tiveram um aumento de 76% de confiança do consumidor. “Muita gente está enxergando a lei como uma despesa e uma obrigação, mas traz retornos bastante significativos”, afirma Kovalscki.
Cultura de proteção de dados
Durante os dois anos de vacatio legis e ao longo do último ano antes de a LGPD passar a valer na íntegra, um trabalho de aprendizado foi desenvolvido junto a diversas empresas. Mas é possível afirmar que o país ainda engatinha na criação de uma cultura de proteção de dados, que em outros locais já é histórica. Na União Europeia, a General Data Protection Regulation (GDPR) – na qual o Brasil se espelhou para criar sua legislação – , de 2018, consolidou a proteção de dados, mas os países já possuíam legislação referente ao tema há décadas.
No Canadá, a Personal Information Protection and Electronic Documents Act (Pipeda), ou Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, está em vigor desde 2000. No Japão, desde 2003 a proteção de dados é garantida pela Lei de Proteção de Informações Pessoais, que, em 2017, se tornou mais ampla. Já na Nova Zelândia, a lei é de 1993 e vem sendo atualizada. Muito mais próximo daqui, a Argentina é um país que tem uma legislação considerada bem estabelecida através da Lei de Proteção de Dados Pessoais, aprovada em 2020.
No Brasil, no entanto, pesquisas recentes têm mostrado que o nível de adequação das organizações brasileiras à LGPD ainda é baixo. Para Fabiano Menke, da Ufrgs, a cultura de proteção de dados é incipiente. Segundo ele, o atraso na adequação, em alguns casos, pode ser até mesmo estratégico, pelo fato de as sanções administrativas ainda não terem começado. O professor alerta, contudo, que a legislação tem uma regra atenuante das sanções que diz respeito à comprovação de medidas tomadas pelas organizações. Ou seja, a boa-fé de uma empresa que adotou mecanismos internos que minimizem danos pode diminuir o valor de uma eventual cobrança.
“Há modelos de negócio que intencionalmente violam a Lei Geral de Proteção de Dados, correm esse risco e, mais do que isso, querem ganhar e ganham dinheiro com a infração. A venda de dados indiscriminada, por exemplo, está, na verdade, pretendendo vantagem a partir da infração e tem uma regra especifica na LGPD que fala sobre isso”, explica Menke. Ele acrescenta que a inadequação de certas empresas pode partir também de uma crença falsa de que apenas grandes empresas que trabalham com muitos dados pessoais estarão sujeitas à fiscalização. “A LGPD se aplica a todos, transversalmente.”
