Com a promulgação da Lei Geral de Proteção de Dados (LGPD - lei 13.709/18), o Brasil, finalmente, se adequou às diretrizes já adotadas pela União Europeia. Com isso, os dados pessoais, ou seja, informações relacionadas a pessoas naturais identificadas ou identificáveis, passaram a ter uma proteção legal específica e os empresários deverão adequar-se às novas exigências, garantindo aos usuários, entre outros direitos, a proteção da privacidade de seus dados, a liberdade de informação e a inviolabilidade da intimidade.
As consequências da não observância dos ditames previstos na legislação sancionada em 2018 variam desde uma simples advertência até a aplicação de multa com base no faturamento, podendo alcançar até R$ 50.000.000,00 (cinquenta milhões de reais), sem prejuízo de perdas e danos. Ademais, aquele que infringir as imposições legais poderá ser compelido à publicização da transgressão, o que, certamente, ocasionará danos inestimáveis à imagem e à reputação do infrator perante o mercado.
Apesar de a LGPD ainda não estar em vigor, quanto à maioria de seus dispositivos, os seus efeitos vêm sendo sentidos na prática, visto que diversas empresas, atentas às punições rigorosas advindas da lei, já adaptaram suas políticas de privacidade de dados e implantaram programas de governança em privacidade, introduzindo, inclusive, um oficial de proteção de dados, designado, na LGPD, como encarregado.
A propósito, persiste o alerta às empresas (incluindo ME e EPP) que, reiteradamente, solicitam CPF, RG e outros dados pessoais de consumidores no momento da compra e/ou da prestação dos serviços: qualquer operação realizada com dados pessoais no Brasil (tratamento de dados), ressalvadas as exceções legais, depende do consentimento expresso do titular ou de seu representante, bem como da especificação da finalidade do tratamento (fidelização do cliente, concessão de descontos, ofertas direcionadas etc). A mera requisição de dados, desacompanhada de informações acerca das condições de seu tratamento, importará infringência legal e sujeição às sanções. É importante alertar, ainda, para o fato de que o titular pode requerer, a qualquer tempo, o acesso, a exclusão, a correção ou a complementação de seus dados.
O objetivo da LGPD é evidente: a proteção do cidadão quanto ao uso indiscriminado e imoderado de seus dados pessoais, além da institucionalização de uma cultura de transparência na gestão dessas informações.
A fim de se evitar infringência às disposições legais e, consequentemente, reduzir o risco de aplicação de sanções, já deveriam estar sendo promovidas, por parte dos empresários, as adequações às exigências estabelecidas pela LGPD, dentre as quais destacam-se: (i) nomeação de um encarregado; (ii) definição dos agentes de tratamento, a saber, controlador (quem toma as decisões sobre o tratamento de dados) e operador (quem realiza o tratamento); (iii) revisão das políticas de segurança, com a adoção de medidas aptas à proteção dos dados pessoais; (iv) manutenção de registros das operações de tratamento de dados pessoais; (v) formulação de regras de boas práticas e implementação de governança em privacidade de dados; (vi) revisão de contratos e de demais instrumentos formalizados com terceiros e fornecedores em geral que, direta ou indiretamente, recebam ou realizem algum tipo de tratamento de dados, estabelecendo-se, assim, os limites no emprego dessa informação, de modo a adequar o procedimento à LGPD; (vii) elaboração de relatório de impacto de privacidade, como uma forma, inclusive, de fiscalização do cumprimento das disposições legais e de implantação de um efetivo programa de compliance.
Por óbvio que tal adaptação implica(rá) um aumento nos custos inerentes ao exercício da atividade econômica. Contudo, tais custos são mínimos se comparados às penalidades decorrentes de eventual descumprimento das exigências legais.
Enfatiza-se, ainda, que a LGPD prevê a responsabilidade solidária durante o processo de tratamento de dados, de modo que a implementação de procedimentos de segurança deve ser observada por todos os envolvidos.
Não há como desprezar o impacto econômico que acompanha a lei 13.709/18, notadamente se considerarmos que o mercado brasileiro é composto, em sua maioria, por empresas de pequeno e médio porte, incluindo startups, as quais, muitas vezes, não dispõem de recursos financeiros para realizar investimentos de tal magnitude.
A propósito, vale registrar que, diante das consequências trazidas pela pandemia do novo coronavírus e das correlatas medidas de contenção, foi aprovado, pelo Plenário do Senado, no dia 3 de abril de 2020, o PL 1.179/2020 que, entre outras questões, determina uma nova dilação da vacatio legis da LGPD. Havendo a aprovação, pela Câmara dos Deputados, e a sanção presidencial, nos moldes propostos, a entrada em vigor da maioria dos dispositivos da LGPD será postergada para 1º de janeiro de 2021 e, especificamente no que concerne às sanções previstas no bojo da LGPD, a vigência será adiada para 1º de agosto de 2021.
Em tempos de isolamento, com trabalho remoto e mudança de comportamento no uso das tecnologias, os dados pessoais, certamente, estão mais expostos e passíveis de vazamento. Há, portanto, de ser observada, de forma ainda mais acentuada, a tutela dos dados pessoais, a partir do emprego de precauções básicas, bem como por meio da estipulação de um protocolo de regras, da adoção de medidas de segurança da informação e mediante treinamentos contínuos que visem a minorar os efeitos da vulnerabilidade que acompanha o período atual.
A atuação de uma autoridade é imprescindível para a mitigação dos riscos, assim como para a fixação de diretrizes hábeis a nortear a salvaguarda de dados pessoais e os procedimentos a serem adotados nesse contexto de crise. Tal mister, como é sabido, deveria estar sendo exercido pela Autoridade Nacional de Proteção de Dados (ANPD), ainda em processo de formação.
A pandemia abala, de forma nefasta, as empresas e as organizações em geral. O processo de retomada será deveras dispendioso e, como se não bastasse, dividirá espaço com as necessidades exigidas pela LGPD. Nesse cenário de incertezas, as medidas para a implementação das normas de segurança da informação e de proteção de dados, invariavelmente, deixarão de ser prioridade no contexto empresarial, porquanto providências estratégicas serão adotadas para viabilizar a própria sobrevivência dos negócios.
O provável (novo) adiamento da entrada em vigor da LGPD, possivelmente, proverá um fôlego adicional para a efetivação de uma necessária transição. No entanto, ao que tudo indica, poderá ser apenas mais um período desaproveitado para a adequação à normativa, já que, transcorrido mais de um ano da sanção da LGPD, os agentes interessados parecem não ter dado a devida atenção à imperiosidade da proteção de dados e da segurança da informação, desconsiderando as iminentes consequências que advirão em caso de descumprimento dos preceitos legais.
Seja qual for o resultado do PL 1.179/2020, a mudança de perspectiva é axiomática. A proteção de dados pessoais passará de uma mera e recomendável prática administrativa a uma obrigação legal que sujeitará o infrator a consequências severas. Premente e fundamental, destarte, a adaptação da estrutura organizacional das empresas, de maneira a promover, interna e externamente, a implementação e a aplicação dos princípios e das obrigações legais quanto à proteção dos dados pessoais.
_________
*Natália Cristina Chaves é professora de Direito Empresarial da Faculdade de Direito da UFMG e sócia da Passos e Chaves Sociedade de Advogados.
*Lucas Badaró Guimarães é sócio da Passos e Chaves Sociedade de Advogados.