Multas da LGPD entram em vigor, mas lei ainda é uma incógnita para empresas brasileiras

As multas e sanções previstas na Lei Geral de Proteção de Dados (LGPD) – Lei Federal n.º 13.709/2018 – começaram a valer neste domingo, dia 1.º de agosto. Em vigor desde 18 de setembro de 2020, a nova legislação que estabelece a política de proteção de dados no Brasil ainda é desconhecida pela grande maioria das corporações. Diversas pesquisas de mercado mostram que cerca de 80% das empresas ainda estão alheias à nova regra, deixando para a última hora a implantação das medidas previstas na lei. Com isso, estão sujeitas às punições, que incluem desde advertências até multas que podem chegar a R$ 50 milhões por infração.

O advogado Guilherme Guimarães, diretor jurídico da Datalege Consultoria e especialista em proteção de dados e segurança da informação, explica que, de acordo com a LGPD, instituições públicas e privadas que coletam dados pessoais de clientes, fornecedores e colaboradores devem saber localizar esses dados, além de ter um canal de comunicação, permitindo e facilitando o acesso dos dados pessoais aos titulares. Ao impedir ou dificultar esse acesso, poderão incorrer em uma infração penal.

TERMO DE PRIVACIDADE - Guimarães afirma que a LGPD estabelece que a corporação deve contar com o termo de privacidade disponível em seu site listando, minimamente, as atividades em que os dados dos titulares são utilizados.

No termo, a empresa também deve se comprometer a adotar princípios de proteção e privacidade e indicar o DPO (Data Protection Officer) – função que no Brasil ficou conhecida como “encarregado de dados” –, com nome exposto no site da empresa.

O advogado explica que, para atender aos direitos do titular previstos no artigo 18 da LGPD, a empresa precisa criar um canal de comunicação adequado, que não pode ser só eletrônico. É preciso também existir um canal físico, com um endereço para o envio de cartas, e-mail ou telefone, por exemplo, para quando algum titular achar necessário se comunicar dessa forma.

A empresa precisa ter tudo isso em ordem, porque, com as sanções vigentes, pode existir uma demanda contra ela junto à Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que fiscaliza e regula a LGPD. “O titular pode fazer um pedido de exercício de direito – se for simples, deve ser atendido em dois dias; para pedidos mais complexos, são 15 dias. Se a empresa não responder, já descumpriu a lei. Há exigência de informações mínimas e, por isso, as empresas devem encarar o artigo 18 de maneira muito séria, pois não só os titulares esclarecidos vão estar ligados a esse quesito, mas equipes jurídicas poderão monitorar as empresas para propor futuras ações a seus clientes”, enfatiza o advogado.

BLOQUEIO DOS DADOS - Guimarães ressalta que o pagamento da multa pode não ser o maior dos problemas para as empresas, uma vez que o principal ativo hoje em dia são as informações. E é justamente aí que está o grande risco: no bloqueio do uso dos dados e na suspensão das atividades que usem determinados dados pela empresa por não cumprir a LGPD. “Uma empresa que tem um trabalho focado em dados e fica proibida de operar ou suspensa de usar por um tempo o seu banco de dados, não vai conseguir trabalhar, pode falir”, alerta.

Segundo Guimarães, a ANPD já deu indícios que, em um primeiro momento, vai trabalhar com uma abordagem focada na educação e na orientação sobre a LGPD, não de repressão. Mas é algo que não dever durar por muito tempo. “Quando esse período passar, as empresas têm que compreender como devem tratar os dados e se enquadrar. E deixar isso transparente. Se houver um pacto pela LGPD, um compromisso pelo respeito à prerrogativa da autodeterminação informativa do titular, a empresa pode usar isso com uma abordagem de credibilidade, mostrando que é uma defensora da privacidade. A empresa só tem a ganhar respeitando a LGPD”, confirma.

GUILHERME GUIMARÃES - Guilherme Guimarães é advogado e sócio fundador do Guilherme Guimarães Advogados Associados e da Datalege Consultoria Empresarial. Atua na área de Direito Digital e é especialista em Segurança da Informação pela Universidade Latino Americana de Tecnologia; cursou especialização em Gestão da Tecnologia da Informação e Comunicação pela Universidade Tecnológica Federal do Paraná (UTFPR). Colaborou na redação do Marco Civil da Internet, lei promulgada em 2014. É consultor e palestrante na área de tecnologia e responsável pela elaboração da Política de Segurança da Informação e de Proteção de Dados Pessoais para diversas corporações. OAB/PR 42.099.