A questão é levantada em um momento em que a Autoridade Nacional de Proteção de Dados – ANPD, daqui a pouco mais de um mês, começará a aplicar as multas por infração à Lei Geral de Proteção de Dados
Se compararmos com a União Europeia, onde vigora o Regulamento Geral de Proteção de Dados – RGPD, que serviu de base para a nossa LGPD, percebemos um cenário muito evoluído, com esquema das Autoridades Supervisoras para cada estado membro, além de ampla organização nas próprias sanções. Da forma como acontece na União Europeia, cria-se um ambiente mais justo e respeitoso com o tratamento de dados pessoais, uma vez que, de acordo com a lei, é dever das empresas e das instituições manter as informações de seus clientes seguras, além da ética no uso desses dados. Imagino que este seja o nosso próximo passo no Brasil, conseguir ampliar a disseminação da importância que devemos ter com os nossos dados e as regras que as empresas, públicas ou privadas, devem seguir.
Ao final de junho, havia 1400 decisões judiciais citando a LGPD. Esse número de condenações e ressarcimentos são referentes às esferas trabalhistas e de consumo. Porém, veremos no próximo mês de outubro, a primeira multa por não atendimento da LGPD por parte da Autoridade Nacional de Proteção de Dados – ANPD, órgão federal responsável por fiscalizar e aplicar essa Lei. Essa é a expectativa nos bastidores.
A ANPD aguarda a publicação de uma portaria com a
metodologia de cálculo de multas para começar a aplicá-las, o que deve ocorrer
até o final de setembro, sendo que as penalidades passarão a ser executadas a
partir de outubro. Enquanto isso, os processos administrativos que investigam
infrações continuam sendo conduzidos.
Lição de casa -- Toda e qualquer empresa deverá desenvolver o seu próprio programa de privacidade, compliance a LGPD. A melhor forma de se defender em uma investigação é ter evidências suficientes. É de extrema importância ter o apoio de um especialista multidisciplinar que conheça muito bem a LGPD, e também consiga navegar nas esferas de processos de governança, tecnologia e jurídico para que veja todas as características e particularidades da empresa perante a Lei.
Sanções distintas – No caso de critérios para aplicação de sanções, serão avaliados os danos e a gravidade ao titular, além das medidas técnicas e administrativas desenvolvidas pelas empresas. Em caso de reincidência será considerado um agravante perante a pena a ser aplicada. A ANPD espera que as empresas invistam em proteção de dados e consigam dar segurança aos titulares.
Outra questão ressaltada: diferentes sanções podem ser aplicadas simultaneamente para a mesma empresa. Cada sanção é direcionada para cada infração cometida, dessa forma, uma empresa poderá sofrer um ataque hacker e ao mesmo tempo receber uma denúncia sobre a falta de transparência em sua política de privacidade. Nestes dois casos pode haver processos, investigações e sanções distintas.
Quando a denúncia chega – Se ocorrer algum vazamento ou acesso indevido a dados pessoais, é de extrema importância que, além do protocolo técnico para cessar o incidente, também seja estabelecida uma linha de comunicação sobre o incidente à autoridade em um prazo recomendado de 48 horas úteis. Esse procedimento é feito via Sistema Eletrônico de Informações - SEI (Presidência da República), onde cabe ao Data Protection Officer (DPO) interagir de forma eletrônica com a ANPD. Se a empresa em questão receber uma denúncia feita por um titular na ANPD, a própria autoridade entrará em contato para solicitar mais informações e evidências referentes ao tratamento de dados pessoais.
A ANPD seguirá os trâmites de procedimentos administrativos, ou seja, para cada solicitação de evidência, o prazo máximo para interação é de 30 dias contados. Existe uma expectativa que a ANPD libere ainda em agosto uma norma referente à dosimetria de aplicação das sanções.
Com relação aos valores das multas, a variação será, muito provavelmente, sobre a gravidade e dano que possam ocorrer aos direitos fundamentais dos titulares envolvidos. O teto será de 2% do faturamento do ano anterior, mas a autoridade poderá extrapolar o teto previsto com base no risco associado, conforme afirma o especialista.
Não acredito em indústria da multa, até pela seriedade característica da ANPD, mas também sabemos que será necessário se balizar pelo impacto financeiro, afinal, essa será uma forma de obrigar as empresas a estar em conformidade com a Lei. Um cenário que acredito será o grande volume de investigações em decorrência dos ataques cibernéticos ou falta de atendimento aos princípios da LGPD.
Sylvio Sobreira Vieira - fundador e CEO da SVX Corporate e especialista em
governança, gerenciamento, privacidade e proteção de dados, com especialização
pela University of Pennsylvania em Privacy Law and Data Protection. É
Membro Executivo da Academia Europeia da Alta Gestão e da IAPP - International Association of Privacy Professionals e
gestor de processos de Inovação, Transformação
Digital, Governança e Conformidade.
