Desde domingo, 1.º
de agosto, instituições privadas podem receber sanções e multas de até R$ 50
milhões por infração
As multas e sanções previstas na Lei Geral de
Proteção de Dados (LGPD) – Lei Federal n.º 13.709/2018 – começaram a valer
neste domingo, dia 1.º de agosto. Em vigor desde 18 de setembro de 2020, a nova
legislação que estabelece a política de proteção de dados no Brasil ainda é
desconhecida pela grande maioria das corporações. Diversas pesquisas de mercado
mostram que cerca de 80% das empresas ainda estão alheias à nova regra,
deixando para a última hora a implantação das medidas previstas na lei. Com
isso, estão sujeitas às punições, que incluem desde advertências até multas que
podem chegar a R$ 50 milhões por infração.
O advogado Guilherme Guimarães, diretor jurídico da
Datalege Consultoria e especialista em proteção de dados e segurança da
informação, explica que, de acordo com a LGPD, instituições públicas e privadas
que coletam dados pessoais de clientes, fornecedores e colaboradores devem
saber localizar esses dados, além de ter um canal de comunicação, permitindo e
facilitando o acesso dos dados pessoais aos titulares. Ao impedir ou dificultar
esse acesso, poderão incorrer em uma infração penal.
TERMO DE PRIVACIDADE
Guimarães afirma que a LGPD estabelece que a
corporação deve contar com o termo de privacidade disponível em seu site
listando, minimamente, as atividades em que os dados dos titulares são
utilizados.
No termo, a empresa também deve se comprometer a
adotar princípios de proteção e privacidade e indicar o DPO (Data Protection
Officer) – função que no Brasil ficou conhecida como “encarregado de dados” –,
com nome exposto no site da empresa.
O advogado explica que, para atender aos direitos
do titular previstos no artigo 18 da LGPD, a empresa precisa criar um canal de
comunicação adequado, que não pode ser só eletrônico. É preciso também existir
um canal físico, com um endereço para o envio de cartas, e-mail ou telefone,
por exemplo, para quando algum titular achar necessário se comunicar dessa
forma.
A empresa precisa ter tudo isso em ordem, porque,
com as sanções vigentes, pode existir uma demanda contra ela junto à Autoridade
Nacional de Proteção de Dados Pessoais (ANPD), que fiscaliza e regula a LGPD.
“O titular pode fazer um pedido de exercício de direito – se for simples, deve
ser atendido em dois dias; para pedidos mais complexos, são 15 dias. Se a
empresa não responder, já descumpriu a lei. Há exigência de informações mínimas
e, por isso, as empresas devem encarar o artigo 18 de maneira muito séria, pois
não só os titulares esclarecidos vão estar ligados a esse quesito, mas equipes
jurídicas poderão monitorar as empresas para propor futuras ações a seus
clientes”, enfatiza o advogado.
BLOQUEIO DOS DADOS
Guimarães ressalta que o pagamento da multa pode
não ser o maior dos problemas para as empresas, uma vez que o principal ativo
hoje em dia são as informações. E é justamente aí que está o grande risco: no
bloqueio do uso dos dados e na suspensão das atividades que usem determinados
dados pela empresa por não cumprir a LGPD. “Uma empresa que tem um trabalho
focado em dados e fica proibida de operar ou suspensa de usar por um tempo o
seu banco de dados, não vai conseguir trabalhar, pode falir”, alerta.
Segundo Guimarães, a ANPD já deu indícios que, em
um primeiro momento, vai trabalhar com uma abordagem focada na educação e na
orientação sobre a LGPD, não de repressão. Mas é algo que não dever durar por
muito tempo. “Quando esse período passar, as empresas têm que compreender como
devem tratar os dados e se enquadrar. E deixar isso transparente. Se houver um
pacto pela LGPD, um compromisso pelo respeito à prerrogativa da
autodeterminação informativa do titular, a empresa pode usar isso com uma
abordagem de credibilidade, mostrando que é uma defensora da privacidade. A
empresa só tem a ganhar respeitando a LGPD”, confirma.
Guilherme Guimarães - advogado e sócio fundador do
Guilherme Guimarães Advogados Associados e da Datalege Consultoria Empresarial.
Atua na área de Direito Digital e é especialista em Segurança da Informação
pela Universidade Latino Americana de Tecnologia; cursou especialização em
Gestão da Tecnologia da Informação e Comunicação pela Universidade Tecnológica
Federal do Paraná (UTFPR). Colaborou na redação do Marco Civil da Internet, lei
promulgada em 2014. É consultor e palestrante na área de tecnologia e
responsável pela elaboração da Política de Segurança da Informação e de
Proteção de Dados Pessoais para diversas corporações. OAB/PR 42.099.