Desde a entrada em vigor da lei 13.107/18, mais conhecida como lei geral de proteção de dados (LGPD), verifica-se que a legislação consolidou uma nova cultura de proteção de dados pessoais. A lei representa, assim, um resguarde de privacidade de dados de pessoas físicas, eis que o cenário internacional já cobrava uma legislação com esse objetivo.
A LGPD, nesse sentido, foi editada para tutelar o tratamento dos dados pessoais, com o intuito de assegurar a proteção da privacidade. Contudo, apesar de ter sua vigência iniciada em 18/9/20, e a aplicabilidade de suas sanções serem iniciadas em 1º/8/21, a grande maioria das empresas brasileiras ainda não estão adequadas às diretrizes elencadas pelo novo diploma legal.
O problema reflete o despreparo empresarial frente à nova cultura trazida (e imposta) pela lei geral de proteção de dados. Em primeiro lugar, muitas empresas ainda desconhecem o teor da LGPD; em segundo lugar, muitas empresas acreditam que a aquisição de um programa de compliance significaria uma despesa elevada, que comprometeria o orçamento empresarial; e, em terceiro lugar, muitas empresas acham que a realidade sancionatória ainda não foi implantada e/ou ainda não foi aplicada pelo Poder Judiciário.
Entretanto, muito em sentido contrário, a LGPD já possui a vigência “completa” desde agosto de 2021, quando começaram a valer as medidas sancionatórias previstas pela lei. De acordo com a lei, a ANPD (Autoridade Nacional de Proteção de Dados) poderá realizar a aplicação de advertência, com prazo para adoção de medidas corretivas; multa de até 2% do faturamento, limitada ao valor de R$ 50 milhões por infração; publicização da infração; multa diária; bloqueio no tratamento de dados pessoais, até regularização; suspensão do funcionamento do banco de dados por até seis meses, podendo ser prorrogado por igual período e proibição, parcial ou total, do tratamento de dados.
O desafio maior para a adequação das empresas reside no fato de que o titular é o proprietário de todos os seus dados pessoais, e não mais a empresa, que capta e armazena tais dados. Com a LGPD, a regra imposta é a de que cabe ao titular decidir o destino dos seus dados, desde o início e até após o fim do seu tratamento pela empresa.
Nesse cenário, muitas empresas iniciaram o programa de adequação e conformidade à LGPD. No cenário internacional, a corrida para a adequação e compliance já é bem conhecida, eis que o RGPD (Regulamento Geral de Proteção de Dados ou General Data Protection Regulation) europeu está vigente desde 2018, com a previsão de diversas sanções.
No Brasil, algumas empresas já estão com programa de adequação em andamento e algumas já possuem o programa de privacidade finalizado. A complexidade do programa varia de acordo com o porte empresarial, a natureza da atividade econômica, o compartilhamento interno e externo de dados, dentre outros fatores.
Nesse linear, as empresas que estão com programa de compliance já revelam um retorno positivo. Em recente pesquisa publicada pelo Cisco, chamada Data Privacy Benchmark Study 2020, verificou-se que 70% das organizações afirmam ter obtido vantagens comerciais significativas da privacidade de dados para além da conformidade, acima dos 40% indicados na mesma pesquisa de 2019.
A pesquisa consultou mais de 2.800 profissionais de segurança em organizações de portes variados em 13 países e destacou que 82% das organizações veem as certificações de privacidade como uma diretriz de compra relevante, especialmente no caso de opção por um fornecedor terceirizado.
No âmbito judicial, a importância da adequação empresarial à LGPD já é nítida. Em recente decisão, nos autos da apelação cível 1008308-35.2020.8.26.0704, o Tribunal de Justiça de São Paulo condenou uma empresa à apresentação das informações pessoais de um titular, que compartilhou com entidades públicas e privadas, com a apresentação de declaração com a origem dos dados, a finalidade do compartilhamento e outras informações correlatas, sob pena de multa diária no valor de R$ 500,00 (quinhentos reais), a qual foi limitada anteriormente em R$ 5.000,00 (cinco mil reais).
Na decisão, o Tribunal destacou que a empresa possui responsabilidade ativa ou proativa: nessa modalidade de responsabilidade, não basta que a empresa comprove que cumpre os dispositivos da lei. Ela deve comprovar, necessariamente, a adoção de medidas eficazes e capazes para o cumprimento da LGPD, bem como a eficácia de referidas medidas para a proteção dos dados pessoais.
Pormenorizando, não basta que a empresa comprove o cumprimento ponto a ponto da lei. Ela deve comprovar, de igual modo, que adota medidas efetivas de privacidade e segurança de dados pessoais, as quais devem estar elencadas em um Programa de Privacidade. Vale destacar que a própria ANPD (Autoridade Nacional de Proteção de Dados) poderá fiscalizar e aplicar sanções, além de realizar auditorias e comunicar às autoridades competentes em caso de infrações cometidas.
Em verdade, não basta a prevenção: a empresa deve fornecer uma prestação de contas, demonstrando a adoção de medidas efetivas para a proteção e para a privacidade dos dados pessoais que controla, a qual só será possível mediante a elaboração de um Programa de Privacidade.