Sanções da LGPD começam a valer e preocupam empresas que não estão prontas
Especialistas avaliam que muitas empresas ainda não se adaptaram à LGPD, cujas sanções, como multa de até R$ 50 milhões, passam a valer a partir de 1º agosto
As punições previstas na Lei Geral de Proteção de Dados (LGPD) começam a valer a partir de domingo (01/08). O órgão responsável por aplicar as sanções previstas na legislação — que foi aprovada em 2018 e que passou a valer em setembro de 2020 — é a Autoridade Nacional de Proteção de Dados (ANPD). Mas especialistas ouvidos pelo Tecnoblog afirmam que as empresas ainda não estão bem adaptadas à LGPD, e quem não se ajustar pode sofrer prejuízo ao longo prazo.
ANPD pode multar empresas em até R$ 50 milhões
A partir de domingo, as sanções da LGPD previstas no Artigo 52 passam a valer para empresas classificadas como operadoras de dados: que usam tratamento de informações como parte inerente a seu modelo de negócio.
A ANPD pode aplicar multas gradualmente a empresas que descumprirem a lei, sendo a primeira apenas uma advertência sem multa, com prazo de correção da infração. A partir dessa notificação, a companhia pode ser multada em até 2% de seu faturamento, excluindo impostos, em um teto que pode chegar a R$ 50 milhões de reais.
Mediante a primeira multa, empresas reincidentes podem sofrer sanções diárias (de até R$ 50 milhões). A ANPD pode publicar a multa e ainda bloquear o uso dos dados envolvidos no processo. A pena máxima prevista é de proibição total do tratamento de dados pessoais de clientes em até 6 meses.
As sanções deveriam ter começado a valer em 2020, mas uma Lei publicada pelo governo federal em junho daquele ano prorrogou as sanções para que tivessem início apenas a partir do 2º semestre de 2021.
Empresas não estão adaptadas à LGPD, dizem especialistas
Na avaliação de Nicolo Zingales, professor da FGV Direito Rio e membro do do Centro de Tecnologia e Sociedade (CTS), essa adaptação das empresas ainda caminha de forma lenta no Brasil. A pandemia dificultou essa adequação, que passou a ser só mais um custo em um período de aperto financeiro.
“O problema é que para as empresas que não tinham adequado suas políticas internas antes da crise, têm custos adicionais: mapeamento do fluxo interno e realocação de agentes [de dados] dentro da empresa, nomear o encarregado [DPO] que atue como um canal com titulares de dados. Não é um processo que pode ser feito na virada da noite: exige preparação”, explica Zingales.
As empresas estão principalmente atrasadas quando se trata de difundir os princípios da LGPD entre os funcionários, segundo especialistas ouvidos pelo Tecnoblog. É uma boa prática que pode prevenir dores de cabeça no futuro, como multas mais severas que podem ser aplicadas pela fiscalização da autoridade.
Esse processo de conscientização de empregados pode levar meses, segundo Daniel Gatti, professor de Computação da PUC-SP, e Plínio Higasi, mestre em Tecnologia da Inteligência e Design Digital, também pela PUC-SP. Para eles, o mercado ainda demonstra sinais de que está em fase de adequação ou sequer iniciou preparações para atender aos compromissos da LGPD.
O advogado Juliano Maranhão, diretor do Instituto LGPD, diz que seria prudente se a ANPD aplicasse punições mais brandas nos primeiros meses a partir de agosto:
“Muitas empresas e órgãos públicos ainda não estão inteiramente adequados às exigências da LGPD e ainda há diversos temas a serem regulamentados pela ANPD. Portanto, seria salutar se, neste início e período de implantação da cultura de proteção de dados, a ANPD adotasse dosimetria mais branda de penalidades, com caráter educativo.”
Esta também é a avaliação da advogada Caroline Dinucci, especialista em LGPD. Para ela, o foco da autoridade de proteção aos dados não está em prejudicar empresas via multas:
“A ANPD existe desde 2019, e também está passando por uma adaptação: seus dirigentes estão aprendendo sobre a LGPD. Eles não estão interessados em apenas sancionar empresas; não querem prejudicar negócios, mas sim colocar em prática uma cultura de tratamento de dados.”
Ainda segundo a advogada do Dinucci Barreto Advogados, uma das punições que mais pode impactar negativamente uma companhia não é a multa, e sim a divulgação da penalidade, que pode afetar a reputação da marca; consumidores pensarão duas vezes antes de adquirir produtos e serviços de alguém autuado pela ANPD.
“Agora é obrigação mostrar que se tem respeito pelos dados dos consumidores. Isso faz com que a empresa seja competitiva. Pode ser a diferença entre fechar negócios, fidelizar o consumidor, inclusive para o próprio futuro do negócio”, pontua Dinucci.
ANPD não tem alvos, mesmo com vazamentos de dados
Apesar de algumas empresas e instituições enfrentarem processos na Justiça por vazamento de informações, como Serasa e INSS, a um porta-voz da ANPD disse em entrevista ao Tecnoblog que, por enquanto, não tem uma lista com investigações pendentes.
“À medida que as denúncias chegam, o processo fiscalizatório se inicia de imediato”, afirma o órgão, que tem uma ouvidoria para registrar queixas de titulares de dados.
No dia 8 de julho, a ANPD publicou uma portaria que define os processos de regulamentação usados para aplicar a LGPD às empresas. Para aplicar as multas, a autoridade vai considerar alguns critérios, como: “a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas”.
Contudo, o órgão afirma que ainda vai submeter à consulta pública a norma que diz respeito às sanções.
Procon vai colaborar com ANPD na troca de informações
Para auxiliar na aplicação de punições, a ANPD vai poder contar com a troca de informações com outras instituições. Ela faz parte, por exemplo, da Senacon (Secretaria nacional do Consumidor), com a qual colabora também o Procon.
Ao Tecnoblog, Guilherme Farid, chefe de gabinete do Procon-SP, afirma que o órgão pró-consumidor deve trabalhar em parceria com a ANPD na troca de informações, podendo inclusive solicitar investigações. Entretanto, ele ressalta que o Procon é acionado apenas em infrações ao Código de Defesa do Consumidor (CDC), enquanto a ANPD pune casos relacionado à LGPD. Farid ressalta que empresas podem ter prejuízo se não cumprirem com ambas as leis:
“Vai custar muito caro para a empresa que não se adaptar. É no melhor dos investimentos. Se ela não fizer isso pensando nos dados, vai haver o incentivo da multa. O Procon pode inclusive suspender produtos envolvendo o vazamento dos dados do consumidor.”
Contudo, a ANPD não deve distribuir as mesmas punições para todas as empresas que falharem com a proteção de dados. Há uma diferença entre grandes empresas, que tiveram mais orçamento para se adaptar e estabelecer um oficial de proteção de dados (DPO), do que pequenas e médias empresas.
Nesse sentido, a LGPD é assimétrica, avalia Nicolo Zingales, da FGV:
“As empresas maiores estão mais no alvo porque é algo que preocupa mais. Além de ter um encarregado, tanto como autoridade como para o tratamento de dados, as empresas devem fazer relatório de impacto de minimização de riscos. A LGPD é assimétrica. Não se aplica o mesmo a todos. Agentes com risco maior requerem medidas mais significativas.”
Por fim, Daniel Gatti e Plínio Higasi ressaltam que o setor de TI ganha uma importância ainda maior, já que ele é o responsável por proteger os dados dos consumidores. De acordo com a LGPD, em caso de vazamentos, as empresas são obrigadas a apontar se a falha foi intencional e quem são os responsáveis.
“Sem um setor de TI cuidadoso, bem administrado e valorizado pela empresa, as penas administrativas e eventuais questões penais poderão ser ainda maiores”, concluem os especialistas da PUC-SP.