LGPD: Será que o Brasil terá um cenário tão evoluído quanto o da União Europeia no tratamento de dados pessoais?
Por: Sylvio Sobreira Vieira *
A questão é levantada em um momento em que a Autoridade
Nacional de Proteção de Dados – ANPD, daqui a pouco mais de um mês, começará a
aplicar as multas por infração à Lei Geral de Proteção de Dados
Se
compararmos com a União Europeia, onde vigora o Regulamento Geral
de Proteção de Dados – RGPD, que serviu de base para a nossa LGPD,
percebemos um cenário muito evoluído, com esquema das Autoridades
Supervisoras para cada estado membro, além de ampla organização nas
próprias sanções. Da forma como acontece na União Europeia, cria-se um
ambiente mais justo e respeitoso com o tratamento de dados pessoais, uma vez
que, de acordo com a lei, é dever das empresas e das instituições manter as
informações de seus clientes seguras, além da ética no uso desses dados.
Imagino que este seja o nosso próximo passo no Brasil, conseguir ampliar
a disseminação da importância que devemos ter com os nossos dados e
as regras que as empresas, públicas ou privadas, devem seguir.
Ao
final de junho, havia 1400 decisões judiciais citando a LGPD. Esse número
de condenações e ressarcimentos são referentes às esferas trabalhistas e de
consumo. Porém, veremos no próximo mês de outubro, a primeira multa por não
atendimento da LGPD por parte da Autoridade Nacional de Proteção de Dados –
ANPD, órgão federal responsável por fiscalizar e aplicar essa Lei. Essa é a
expectativa nos bastidores.
A ANPD aguarda
a publicação de uma portaria com a metodologia
de cálculo de multas para começar a aplicá-las, o que deve ocorrer até o final
de setembro, sendo que as penalidades passarão a ser executadas a partir de
outubro. Enquanto isso, os processos administrativos que investigam infrações
continuam sendo conduzidos.
Lição de casa -- Toda e qualquer empresa deverá
desenvolver o seu próprio programa de privacidade, compliance a LGPD. A
melhor forma de se defender em uma investigação é ter evidências suficientes. É
de extrema importância ter o apoio de um especialista multidisciplinar que
conheça muito bem a LGPD, e também consiga navegar nas esferas de
processos de governança, tecnologia e jurídico para que veja todas as
características e particularidades da empresa perante a Lei.
Sanções distintas – No
caso de critérios para aplicação de sanções, serão avaliados os
danos e a gravidade ao titular, além das medidas técnicas e administrativas
desenvolvidas pelas empresas. Em caso de reincidência será considerado um
agravante perante a pena a ser aplicada. A ANPD espera que as empresas invistam
em proteção de dados e consigam dar segurança aos titulares.
Outra
questão ressaltada: diferentes sanções podem ser aplicadas simultaneamente para
a mesma empresa. Cada sanção é direcionada para
cada infração cometida, dessa forma, uma empresa poderá sofrer um
ataque hacker e ao mesmo tempo receber uma denúncia sobre a falta
de transparência em sua política de privacidade. Nestes dois casos
pode haver processos, investigações e sanções distintas.
Quando
a denúncia chega – Se ocorrer algum vazamento ou acesso indevido a dados
pessoais, é de extrema importância que, além do protocolo técnico para cessar o
incidente, também seja estabelecida uma linha de comunicação sobre o incidente
à autoridade em um prazo recomendado de 48 horas úteis. Esse procedimento é
feito via Sistema Eletrônico de Informações - SEI (Presidência da República),
onde cabe ao Data Protection Officer (DPO) interagir de forma eletrônica com a
ANPD. Se a empresa em questão receber uma denúncia feita por um titular na
ANPD, a própria autoridade entrará em contato para solicitar mais informações e
evidências referentes ao tratamento de dados pessoais.
A
ANPD seguirá os trâmites de procedimentos administrativos, ou seja, para cada
solicitação de evidência, o prazo máximo para interação é de 30 dias contados.
Existe uma expectativa que a ANPD libere ainda em agosto uma norma referente à
dosimetria de aplicação das sanções.
Com
relação aos valores das multas, a variação será, muito provavelmente, sobre a
gravidade e dano que possam ocorrer aos direitos fundamentais dos titulares
envolvidos. O teto será de 2% do faturamento do ano anterior, mas a autoridade
poderá extrapolar o teto previsto com base no risco associado, conforme afirma
o especialista.
Não
acredito em indústria da multa, até pela seriedade característica da ANPD, mas
também sabemos que será necessário se balizar pelo impacto financeiro, afinal,
essa será uma forma de obrigar as empresas a estar em conformidade com a Lei.
Um cenário que acredito será o grande volume de investigações em decorrência
dos ataques cibernéticos ou falta de atendimento aos princípios da LGPD.
*Sylvio Sobreira Vieira é fundador e CEO da SVX Corporate e especialista em governança, gerenciamento, privacidade e proteção de dados, com especialização pela University of Pennsylvania em Privacy Law and Data Protection. É Membro Executivo da Academia Europeia da Alta Gestão e da IAPP - International Association of Privacy Professionals e gestor de processos de Inovação, Transformação Digital, Governança e Conformidade.
Nenhum comentário