A cultura da proteção de dados ainda não é uma realidade no Brasil. Mesmo completando quase um ano de sua entrada em vigor, a adesão à Lei Geral de Proteção de Dados Pessoais (LGPD) ainda é baixa e o cenário econômico prejudicado pela pandemia da COVID-19 contribui para a baixa aderência aos projetos de conformidade, uma vez que as empresas não contam com budget para investir em proteção de dados.
Dividida em dois momentos, a Lei entrou em vigor em setembro de 2020, mas a aplicação das penalidades pela Autoridade Nacional de Proteção de Dados (ANPD) passaram a vigorar desde o dia 1º de agosto de 2021. Muitas empresas ainda imaginam que não podem ser atingidas pela norma e ficam à mercê das multas que podem chegar a R$ 50.000,00.
Cumprindo com a agenda regulatória lançada em janeiro de 2021, a ANPD promoveu audiência pública entre os dias 15 e 16 de julho deste mesmo ano, visando possibilitar a participação da sociedade na discussão sobre a proposta normativa de fiscalização e aplicação de sanções pela Autoridade. A minuta disponibilizada para debate resultará em um regulamento que estabelecerá as circunstâncias e as condições para a adoção de multas, bem como a estrutura que orientará o cálculo do valor base das sanções.
A metodologia sancionatória ainda está pendente de definição, contudo as sanções administrativas já são bem claras e incluem (i) advertência, com indicação de prazo para adoção de medidas corretivas, (ii) multa simples de até 2% do faturamento, limitada a R$50 milhões de reais por infração, incluindo multa diária aplicável diante da gravidade da falta e da extensão do dano ou prejuízo acusado, respeitando o limite estabelecido neste item, (iii) publicização da infração, (iv) bloqueio dos dados pessoais relacionados à infração até a sua regularização, (v) eliminação dos dados pessoais, (vi) suspensão parcial do funcionamento do banco de dados por até seis meses, podendo ser o prazo prorrogável por igual período, (vii) suspensão do exercício da atividade de tratamento de dados pessoais também pelo prazo de 6 meses, sendo igualmente prorrogável e (viii) proibição parcial ou total da atividade de tratamento dados.
Waldemar Gonçalves, diretor da ANPD, tem reproduzido em sua fala que a Autoridade Nacional possui, antes de tudo, um papel educativo na cultura de proteção de dados, mas afirma que, após orientações e notificações sobre os erros, as punições serão aplicadas de acordo com cada infração e informa que o vazamento de dados e a não coleta do consentimento serão consideradas infrações graves, esclareceu em entrevista à Agência Confederação Nacional da Indústria (CNI).
É comum que as atividades de tratamento de dados contemplem uma cadeia de agentes e que nem todos estejam interessados na conformidade com a LGPD. O desinteresse de alguns gera preocupação de outros e os colocam em risco diante da responsabilidade solidária trazida pela Lei. Por isso, as empresas têm buscado fechar negócios com agentes que também possuam um programa de conformidade com a proteção de dados bem estabelecido.
É importante esclarecer que não existe risco zero e mesmo os que estão engajados com o assunto podem vir a sofrer algum tipo de incidente relacionado à proteção de dados. Contudo, eventual responsabilização poderá ser mitigada ou até mesmo extinta quando verificada a adoção de políticas de boas práticas, programa de governança, pronta adoção de medidas de corretivas e outras que objetivem a proteção de dados, uma vez que são vistas com bons olhos pela Autoridade sancionadora.
Lucélia Bastos Gonçalves Marcondes é advogada em privacidade e proteção de dados do escritório Rücker Curi Advocacia.
Izabela Rücker Curi é advogada e sócia fundadora do escritório Rücker Curi Advocacia, board member pelo Instituto Brasileiro de Governança Corporativa IBGC-São Paulo, mediadora ad hoc e consultora da Global Chambers na região Sul. Fundadora da Smart Law, uma startup focada em soluções jurídicas que mesclem inteligência humana e artificial. É mestre em Direito pela PUC-SP e negociadora especializada pela Harvard Law School. Está entre os advogados mais admirados do Brasil, conforme ranking da revista Análise Advocacia 500. Há 25 anos atua como advogada para corporações, é pesquisadora em blockchain e reconhecida pelas práticas de conformidade às normas de proteção de dados.