No próximo mês de agosto entram em vigor as sanções previstas pela Lei Geral de Proteção de Dados Pessoais (LGPD). A Autoridade Nacional de Proteção de Dados (ANPD) será o órgão responsável por aplicar as punições, que podem ser advertências, multas de até 2% do faturamento — limitadas a R$ 50 milhões — ou mesmo o bloqueio dos dados.
Reprodução
A lei foi aprovada em 2018 e entrou em vigor em setembro de 2020. Mesmo assim, especialistas ouvidos pela ConJur apontam que as empresas ainda não estão adaptadas ou preparadas para enfrentar a vigência das sanções: “A maioria ainda não está em absoluta conformidade com a LGPD, não entendendo a importância dessa lei e este novo momento social, em que os dados valem muito”, ressalta Luiz Augusto Filizzola D’Urso, advogado especialista em cibercrimes e professor de Direito Digital no MBA da FGV.
De acordo com ele, as punições podem ser o grande “empurrão inicial” para a aplicação verdadeira da LGPD. “Desde setembro do ano passado até hoje, nós não conseguimos enxergar a lei sendo aplicada concretamente em proteção aos titulares e em defesa do consumidor. Quem sabe agora, com as punições liberadas a partir de agosto, seja possível enxergar com mais clareza esse respeito à nova legislação”.
Segundo Daniela Dantas, consultora em Privacidade e Proteção de Dados do grupo Daryus, o mercado está dividido entre empresas que já se adequaram às novas normas, outras que ainda estão em processo de adequação, e ainda uma parcela que sequer iniciou qualquer implementação.
Bianca Mollicone, coordenadora do Instituto LGPD e sócia responsável por Proteção de Dados e Compliance do escritório Pessoa & Pessoa Advogados, vai além: segundo ela, existe uma grande quantidade de pequenas e médias empresas que precisam até mesmo saber o que é a LGPD. “Essas empresas ainda estão muito perdidas com relação ao que precisam fazer”.
Uma pesquisa da empresa de soluções de segurança BluePex divulgada neste mês de julho aponta que 12% das empresas ainda não têm qualquer iniciativa de adequação à LGPD. 55% ainda buscam informações para adequação e 27% se consideram parcialmente preparadas. Apenas 4% das pequenas e médias empresas estariam totalmente preparadas.
Existe o consenso de que o tempo para adaptação até as sanções foi razoável e de que não seria viável prorrogá-lo ainda mais. Ainda assim, Fabíola Meira, sócia da área de Relações de Consumo do BNZ Advogados e presidente da Associação Brasileira das Relações Empresa Cliente (Abrarec), diz que “estar compliance com a lei será uma tarefa diária de todas as empresas e não há como se falar em um termo final de adequação, pois boas práticas sempre devem ser atualizadas e desenvolvidas”.
Mollicone acrescenta que o momento é de construção de uma mentalidade de proteção dos dados: “O Brasil não tinha nenhuma tradição nessa questão, então é muito difícil de as empresas se aculturarem”. D’Urso indica que a fiscalização da ANPD deve criar um efeito pedagógico e social; não só pelos possíveis prejuízos, mas também pelo impacto na credibilidade das empresas. Afinal, notícias sobre tratamento inadequado de dados podem abalar sua imagem e reputação.
Gradatividade
Há também concordância no sentido de que a efetividade das sanções depende de uma boa aplicação por parte da ANPD. Meira aponta a necessidade de “análise apurada, após medidas orientadoras e incentivos de adaptação e correção prévios às sanções, assegurados devido processo legal, contraditório e ampla defesa e sem sobreposição de sanções por diversos órgãos”.
Para isso, é preciso uma progressão. “O que se espera é que, além da aplicação de eventual sanção em último caso, seja observada essa escala em relação à conduta tida por ilícita e em consonância com as consequências causadas pelo incidente de segurança”, complementa.
Mollicone destaca que serão aplicados critérios de acordo com a peculiaridade de cada caso concreto, “com parâmetros que podem inclusive minorar as sanções”, tais como a boa-fé do infrator e a comprovação de investimentos em segurança da informação.
De acordo com ela, a própria ANPD indica que haverá essa gradação. Em vez do modelo mais punitivista, chamado de “comando de controle”, o órgão pretende adotar um método de “fiscalização responsiva”: “A ideia é induzir comportamentos sem necessariamente fazer uso de punições, a partir de estímulos não sancionatórios”. Ou seja, não aplicar a maior multa possível caso a conduta não seja de grande gravidade nem traga um impacto muito negativo para os titulares dos dados.
Dantas aconselha as empresas a promover treinamentos internos de segurança da informação e workshops de conscientização e a procurar serviços específicos para o início da adequação, com o objetivo de amenizar as possíveis violações e tentar usar apenas os dados necessários.
Consumidor
Até o momento, antes da vigência das sanções, “não vivíamos em um cenário de absoluta impunidade”, como aponta D’Urso. Órgãos de defesa do consumidor já vinham invocando a LGPD para atuar contra violações de dados.
O Procon-SP, por exemplo, notificou a rede de farmácias Raia Drogasil devido à coleta de impressão digital dos clientes, que era usada em políticas de descontos. O Instituto Brasileiro de Defesa do Consumidor (Idec) — que é uma ONG — também já havia questionado a farmacêutica. Antes de qualquer punição, a empresa suspendeu a identificação biométrica.
Outras grandes empresas também foram notificadas pelo Procon-SP no último ano, tais como o Facebook, a distribuidora de energia Enel, o Hospital Albert Einstein e a ByteDance, dona da rede social TikTok. Já a Secretaria Nacional do Consumidor (Senacon) multou a empresa de vestuário Hering em mais de R$ 58 mil pelo reconhecimento facial de seus clientes sem consentimento.
Mesmo a partir de agosto, a competência para punir casos do tipo não será exclusiva da ANPD. Isso porque o artigo 45 da LGPD deixa claro que as violações de direitos dos titulares nas relações de consumo continuam sujeitas à legislação pertinente. O artigo 18 também estabelece que o titular dos dados pode exercer seus direitos perante órgãos de proteção do consumidor.
Assim, as sanções previstas na LGPD poderão ser aplicadas apenas pela ANPD, mas os órgãos de defesa do consumidor ainda poderão aplicar punições, baseados, por exemplo, no Código de Defesa do Consumidor.
“Esses órgãos continuam atuando na proteção de dados dos consumidores, mas devem estar alinhados com a ANPD, visando uniformização de entendimentos e coordenação de ações no caso de incidentes de segurança, por exemplo”, diz Meira.
“Os órgãos têm que conversar para saber se aquela situação concreta está sendo julgada em outro órgão, dando prioridade sempre ao órgão exclusivo, que é a ANPD”, lembra D’Urso.
A articulação já vem acontecendo. A ANPD e a Senacon firmaram acordo de cooperação técnica para promover ações conjuntas. Um pacto semelhante também foi estabelecido entre a ANPD e o Conselho Administrativo de Defesa Econômica (Cade). “Tudo está sendo desenhado para que não haja dupla punição”, constata Dantas.
Reprodução
Além das sanções
Outro ator envolvido no cumprimento da LGPD é o MP, que pode judicializar questões de violação de dados — nas palavras de D’Urso, atuando como mais um dos “braços” da ANPD. Mas Mollicone lembra que a LGPD também estimula resoluções consensuais, por meio de conciliação direta.
“É importante que as empresas desenvolvam mecanismos de resolução de conflitos para tentar chegar a um denominador comum com os titulares em casos de problemas”, afirma. Segundo ela, a ANPD provavelmente também promoverá esse estímulo, para evitar o uso do Judiciário “em uma corrida de ações que não beneficiam a coletividade”.
No último ano, a construtora Cyrela foi condenada a indenizar em R$ 10 mil um cliente por ter enviado informações pessoais a outras empresas. Já no último mês de maio, a divulgação de dados de um cliente gerou uma indenização de R$ 4 mil para a Serasa. E o TJ-SP, embora sem citar a LGPD, condenou a Eletropaulo a indenizar uma cliente de 80 anos cujos dados foram vazados.
De acordo com um levantamento feito pelo escritório Lee, Brock e Camargo Advogados, entre janeiro deste ano e meados de junho, foram ajuizadas 660 ações envolvendo conflitos de proteção de dados. Além disso, um levantamento da empresa Juit, feito a pedido da Folha de S.Paulo, mostra que, desde a sanção da LGPD até o fim de junho, foram tomadas 598 decisões judiciais embasadas na lei.
