Sanções da LGPD começam a partir de Agosto!

A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) foi aprovada em agosto de 2018 e passou a valer a partir de 2020, sendo que só agora, em agosto de 2021, passará a punir quem ainda não tiver se adaptado. Ela afeta diferentes setores e serviços, seja como pessoa física, jurídica e governo e resume-se no conjunto de normas e práticas que tem por objetivo a proteção e o tratamento igualitário dos dados pessoais de qualquer cidadão no Brasil.

Embora as sanções entrem em vigor em 1º de agosto, “o que temos visto são os próprios titulares de dados pessoais ajuizando ações contra as empresas que de alguma forma fizeram mau uso das informações de seus clientes”, é o que diz Caterina Formigoni Carvalho, head da área de direito digital da Scharlack Advogados. “Os tribunais, por sua vez, têm entendido pela procedência dessas ações, muitas vezes condenando as empresas ao pagamento de indenizações e obrigando-as a tomarem medidas corretivas”.

A especialista explica ainda que o PROCON e o Ministério Público têm feito, também, o papel da Autoridade Nacional ao aplicar multas e advertências às empresas que não estão em conformidade com a lei. “Desde 2018, as empresas já vêm sofrendo as consequências do não cumprimento da LGPD. Basta que elas possuam atividades que envolvam o tratamento de dados pessoais para estarem sujeitas às determinações da lei, sejam dados de consumidor final ou de funcionários”.

Empresas que não estão em conformidade com a LGPD estão sujeitas, como apontado por Caterina, a reclamações por parte dos titulares dos dados pessoais. “Ainda que a empresa não chame atenção da Autoridade Nacional de Proteção de Dados – ANPD, que é o órgão responsável pela fiscalização e cumprimento da LGPD, nada impede que os titulares de dados pessoais busquem individualmente seus direitos perante o Poder Judiciário, e os que têm feito isso tem obtido sucesso. Além disso, como o PROCON tem estado alerta em relação ao tratamento de dados pessoais dos consumidores, podemos pensar que esse órgão teria legitimidade para ajuizar uma ação coletiva em nome dos consumidores contra determinada empresa. O dano causado, nesse caso, seria muito maior do que 3 ou 5 ações judiciais individuais”.

A especialista explica que sem prejuízo das ações judiciais, a empresa pode ser obrigada a informar a seus clientes sobre eventuais infrações, causando um significativo impacto negativo à sua marca e reputação. A ANPD pode, ainda, suspender as atividades da empresa que envolvam o tratamento de dados pessoais e aplicar multa pecuniária que vai de 2% do faturamento anual a R$ 50 milhões.

Vale dizer que as empresas, de modo geral, precisam se atentar às formas como estão coletando dados pessoais não só de seus clientes, como de seus funcionários. É preciso avaliar se todas essas informações armazenadas de fato são necessárias para o cumprimento da finalidade do tratamento de dados. Além disso, outros dois pilares importantes da implementação da LGPD são: as medidas adotadas para garantir a segurança e a integridade dos dados; e a nomeação do Encarregado de Proteção de Dados ou Data Protection Officer - DPO, que será o representante das empresas perante a autoridade fiscalizadora e os titulares de dados e, como tal, precisará ter conhecimento de todas as atividades que envolvam o tratamento de dados pessoais.

A implementação da LGPD, por não ser um trabalho pontual, precisa de acompanhamento constante. Sempre que algum fluxo de dados mudar ou surgir é preciso traçar novas estratégias ou até mesmo alterar os métodos anteriormente aplicados.

Importante ressaltar que as empresas que estão inseridas no mundo digital têm maiores preocupações justamente em razão do meio em que atuam. No entanto, a LGPD se aplica a todos os portes de empresas, de todos os setores. “Até mesmo porque a lei não se aplica somente ao meio digital. Empresas que têm arquivos físicos também estão sujeitas às determinações da LGPD, bem como à fiscalização da autoridade e à aplicação das sanções”.

A especialista da Scharlack Advogados alerta para possíveis erros no processo, que são comuns, mas podem ser evitados. “Os gargalos são identificados através do mapeamento, que é a primeira fase de implementação da LGPD nas empresas. É feito um estudo para entender a realidade da empresa, quais são as atividades que envolvem o tratamento de dados pessoais e quais são as medidas de segurança adotadas. Traçados esses pontos, é possível identificar onde a empresa pode ou precisa melhorar para evitar qualquer tipo de problema”.

Muito embora a implementação da LGPD não seja um processo instantâneo, é importante que todas as empresas se adequem à legislação. “O compliance à LGPD, além de evitar multas, outras sanções administrativas e até processos judiciais, gera boa reputação no mercado e aumenta as chances de celebração de bons negócios, já que as empresas externarão sua preocupação com o tema e terão meios para lidar com eventuais incidentes”, conclui.