Três perguntas: LGPD – cenário atual, multas e adequação

547
Márcio Chaves (foto divulgação Almeida Advogados)
Márcio Chaves (foto divulgação Almeida Advogados)

Conversamos sobre o cenário atual da LGPD (Lei Geral de Proteção de Dados – Lei 13.709 de 14 de agosto de 2018) com o advogado Márcio Chaves, sócio responsável da área de Direito Digital do Almeida Advogados.

 

Nós conversamos sobre a LGPD há um ano. O que mudou nesse cenário desde então?

Pode parecer que foi pouco, mas muita coisa mudou desde a nossa última conversa há 12 meses. Nós tivemos mudanças internas na forma como a ANPD (Autoridade Nacional de Proteção de Dados) se estrutura, se organiza e estabelece o funcionamento das regulamentações da própria LGPD, com a participação e envolvimento da sociedade civil como um todo, através de processos de consultas públicas bem abrangentes.

Espaço Publicitáriocnseg

Ao mesmo tempo, nós vemos a movimentação dos impactos da lei na seara judicial, ou seja, os processos que foram propostos e julgados envolvendo a LGPD para que se pudesse reconhecer o direito à privacidade para determinados titulares, que num sentido mais amplo vai desde consumidores até trabalhadores, mostrando que não basta esperar as tão aguardadas e temidas multas para termos impactos trazidos pela lei.

Há um ano, nós tivemos a vigência total da lei, ou seja, uma empresa passou a ser passível de ser fiscalizada e autuada por descumprir a LGPD. Ainda temos muita regulamentação por vir e muita necessidade de ajuste do funcionamento da própria ANPD para chegarmos ao seu real objetivo que é fazer uma fiscalização ativa, atuar na orientação e conscientização do uso de dados pessoais, e, principalmente, fazer o regramento, já que as empresas acabam ficando muito inseguras sobre como usar os dados pessoais diante do cenário trazido pela lei que tem na penalização, talvez, o maior ponto de preocupação por parte de quem está conduzindo o negócio.

 

Uma vez que as multas forem regulamentadas, quais serão os impactos que isso trará às empresas?

Infelizmente, no Brasil nós vemos muito os efeitos que vêm a partir das multas. Os negócios em geral acabam priorizando os investimentos e a tomada de ações com base no risco de se receber uma autuação ou uma multa.

Um ano atrás, nós tínhamos a lei 100% em vigor, mas com diversos pontos que ainda dependiam de regulamentação, sendo um deles justamente a aplicação das penalidades administrativas, dentre as quais as multas, tanto as diárias quanto pelo descumprimento em si. Além das multas, existem outras penalidades como a suspensão do uso de uma base de dados até, eventualmente, a obrigação de excluí-la, o que, na sociedade da informação em que vivemos, representaria o fechamento da empresa.

Hoje, nós ainda temos uma tendência de regulamentação das multas por parte da ANPD. Enquanto não houver essa regulamentação, que estabeleça uma metodologia de cálculo da pena, a ANPD não consegue aplicar uma multa.

Nós já temos duas regulamentações em vigência, sendo uma delas referente ao processo administrativo. Se uma empresa descumpriu a lei desde que ela entrou em vigor em set/2020, ela já pode ser autuada. O ponto é que a empresa não pode receber uma pena porque não há uma regulamentação que estabeleça como o cálculo deve ser feito, já que a LGPD só estabelece o valor máximo da multa que pode ser aplicada. Ela não diz o que deve ser levado em consideração, como o que a empresa fez de certo e o que fez de errado, para se chegar ao valor final da multa que deverá ser paga.

Num cenário resumido, hoje a empresa pode ser fiscalizada, autuada e sofrer um processo administrativo, mas a efetiva aplicação das penalidades administrativas, entre elas as multas, só vai acontecer a partir do momento em que tivermos essa metodologia, o que está previsto para acontecer até outubro deste ano.

 

A segurança do comércio de dados pessoais e a proteção das bases de dados está melhorando?

Existe sim uma melhoria. O que nós tivemos de evolução com a LGPD, desde 2018, foi basicamente separar o joio do trigo: o uso lícito do uso ilícito do dado pessoal.

Enquanto não se estabelecia os parâmetros que a LGPD trouxe, havia uma liberdade muito grande de interpretação entre o que era e o que não era permitido. Isso fazia com que houvesse muitas empresas agindo tanto de forma transparente quanto clandestina. Esse cenário mudou bastante porque a LGPD trouxe uma maturidade com relação ao uso do dado pessoal, pois não havia orientação sobre como agir, operar e usá-lo. Com a LGPD, quem quer traçar o caminho da legitimidade e da licitude já tem um norte bem definido.

O grande número de incidentes e vazamentos reportados pela mídia num primeiro momento foi uma novidade. Como as empresas começaram a seguir as regras regidas pela LGPD, a incidência desses incidentes diminuiu, ou, quando aconteciam, passaram a ter uma resposta de forma a que os impactos à privacidade fossem mitigados.

A lei não quer impedir que um incidente ou um vazamento aconteçam, pois ela não pode exigir isso de uma empresa. Seria muito simples se fosse assim. Era só colocar no artigo primeiro da lei: “Toda empresa está vedada a vazar dados; se vazar, será penalizada.” Não se pode cobrar e exigir isso de ninguém, pois isso não depende só de uma empresa, já que os bureaus de dados, prestadores de serviços e fornecedores trabalham em conjunto. A lei sabe que não existe sistema 100% seguro, principalmente no ambiente digital. O que ela pode exigir é a adoção de melhores práticas.

Com relação ao governo, à administração pública como um todo, esse processo de adequação à LGPD está sendo muito lento. Isso é notável. Até para questões básicas de políticas estabelecidas nos sites governamentais, como os sites de tribunais, nós vemos tropeços em conceitos e questões básicas.

Quando a lei ainda estava sendo discutida como projeto, houve um lobby muito forte para que a administração pública fosse desvinculada da LGPD, mas, felizmente, isso foi mantido. Se isso tivesse acontecido, teria sido a mesma coisa que não ter a LGPD, já que o dado pessoal começa numa empresa e eventualmente passa pelo governo ou vice-versa. Não podemos nos esquecer que o dado pessoal circula. Assim, se o governo não estivesse adequado a LGPD, não haveria como garantir a seriedade da aplicação da lei.

O governo não tem se movimentado com a velocidade necessária para mostrar à iniciativa privada que ele está se adequando e que ela precisa se adequar. Fica até difícil para a administração pública dizer que é necessário seguir a lei, com um órgão governamental autuando empresas por não a terem seguido, sendo que ela mesmo não a cumpre. Isso tira um pouco da credibilidade da própria administração pública.

Leia também:

Três perguntas: uma fintech de compra de direitos creditórios

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui